2. 程式人生 > >隔離 docker 容器中的用戶

隔離 docker 容器中的用戶

阿新 發佈:2018-09-13
pre 然而 ping htm spa 用戶 nic exe 完美

筆者在前文《理解 docker 容器中的 uid 和 gid》介紹了 docker 容器中的用戶與宿主機上用戶的關系,得出的結論是:docker 默認沒有隔離宿主機用戶和容器中的用戶。如果你已經了解了 Linux 的 user namespace 技術(參考《Linux Namespace : User》),那麽自然會問:docker 為什麽不利用 Linux user namespace 實現用戶的隔離呢?事實上,docker 已經實現了相關的功能,只是默認沒有啟用而已。筆者將在本文中介紹如何配置 docker 來隔離容器中的用戶。
說明:本文的演示環境為 ubuntu 16.04。

了解 Linux user namespace

Linux user namespace 為正在運行的進程提供安全相關的隔離(其中包括 uid 和 gid),限制它們對系統資源的訪問,而這些進程卻感覺不到這些限制的存在。關於 Linux User Namespace 的介紹請參考筆者的《Linux Namespace : User》一文。

對於容器而言,阻止權限提升攻擊(privilege-escalation attacks)的最好方法就是使用普通用戶權限運行容器的應用程序。
然而有些應用必須在容器中以 root 用戶來運行,這就是我們使用 user namespace 的最佳場景。我們通過 user namespace 技術,把宿主機中的一個普通用戶(只有普通權限的用戶)映射到容器中的 root 用戶。在容器中,該用戶在自己的 user namespace 中認為自己就是 root,也具有 root 的各種權限,但是對於宿主機上的資源,它只有很有限的訪問權限(普通用戶)。

User namespace 的用戶映射

在配置 docker daemon 啟用 user namespace 前,我需要先來了解一些關於從屬(subordinate)用戶/組和映射(remapping)的概念。從屬用戶和組的映射由兩個配置文件來控制,分別是 /etc/subuid 和 /etc/subgid。看下它們的默認內容:在配置 docker daemon 啟用 user namespace 前,我需要先來了解一些關於從屬(subordinate)用戶/組和映射(remapping)的概念:

技術分享圖片

對於 subuid,這一行記錄的含義為:
用戶 nick,在當前的 user namespace 中具有 65536 個從屬用戶,用戶 ID 為 100000-165535,在一個子 user namespace 中,這些從屬用戶被映射成 ID 為 0-65535 的用戶。

subgid 的含義和 subuid 相同。

比如說用戶 nick 在宿主機上只是一個具有普通權限的用戶。我們可以把他的一個從屬 ID(比如 100000 )分配給容器所屬的 user namespace,並把 ID 100000 映射到該 user namespace 中的 uid 0。此時即便容器中的進程具有 root 權限,但也僅僅是在容器所在的 user namespace 中,一旦到了宿主機中,你頂多也就有 nick 用戶的權限而已。

當開啟 docker 對 user namespace 的支持時(docker 的 userns-remap 功能),我們可以指定不同的用戶映射到容器中。比如我們專門創建一個用戶 dockeruser,然後手動設置其 subuid 和 subgid:

nick:100000:65536
dockeruser:165536:65536

並把它指定給 docker daemon:

{
  "userns-remap": "dockeruser"
}

請註意 subuid 的設置信息,我們為 dockeruser 設置的從屬 ID 和 nick 用戶是不重疊的,實際上任何用戶的從屬 ID 設置都是不能重疊的。

或者一切從簡,讓 docker 為我們包辦這些繁瑣的事情,直接把 docker daemon 的 userns-rempa 參數指定為 "default":

{
  "userns-remap": "default"
}

這時,docker 會自動完成其它的配置。

配置 docker daemon 啟用用戶隔離

這裏筆者采取簡單的方式,讓 docker 創建默認的用戶用於 user namespace。我們需要先創建 /etc/docker/daemon.json 文件:

$ sudo touch /etc/docker/daemon.json

然後編輯其內容如下(如果該文件已經存在,僅添加下面的配置項即可),並重啟 docker 服務:

{
  "userns-remap": "default"
}
$ sudo systemctl restart docker.service

下面我們來驗證幾個關於用戶隔離的幾個點。

首先驗證 docker 創建了一個名為 dockremap 的用戶:

技術分享圖片

然後查看 /etc/subuid 和 /etc/subgid 文件中是否添加了新用戶 dockremap 相關的項:

技術分享圖片

接下來我們發現在 /var/lib/docker 目錄下新建了一個目錄: 165536.165536,查看該目錄的權限:

技術分享圖片

165536 是由用戶 dockremap 映射出來的一個 uid。查看 165536.165536 目錄的內容:

技術分享圖片

與 /var/lib/docker 目錄下的內容基本一致,說明啟用用戶隔離後文件相關的內容都會放在新建的 165536.165536 目錄下。

通過上面的檢查,我們可以確認 docker daemon 已經啟用了用戶隔離的功能。

宿主機中的 uid 與容器中 uid

在 docker daemon 啟用了用戶隔離的功能後,讓我們看看宿主機中的 uid 與容器中 uid 的變化。

$ docker run -d --name sleepme ubuntu sleep infinity

技術分享圖片

uid 165536 是用戶 dockremap 的一個從屬 ID,在宿主機中並沒有什麽特殊權限。然而容器中的用戶卻是 root,這樣的結果看上去很完美:

技術分享圖片

新創建的容器會創建 user namespace

在 docker daemon 啟用用戶隔離的功能前,新創建的容器進程和宿主機上的進程在相同的 user namespace 中。也就是說 docker 並沒有為容器創建新的 user namespace:

技術分享圖片

上圖中的容器進程 sleep 和宿主機上的進程在相同的 user namespace 中(沒有開啟用戶隔離功能的場景)。

在 docker daemon 啟用用戶隔離的功能後,讓我們查看容器中進程的 user namespace:

技術分享圖片

上圖中的 4404 就是我們剛啟動的容器中 sleep 進程的 PID。可以看出,docker 為容器創建了新的 user namespace。在這個 user namespace 中,容器中的用戶 root 就是天神,擁有至高無上的權力!

訪問數據卷中的文件

我們可以通過訪問數據卷中的文件來證明容器中 root 用戶究竟具有什麽樣的權限?創建四個文件,分別屬於用戶 root 、165536 和 nick。rootfile 只有 root 用戶可以讀寫,用戶 nick 具有 nickfile 的讀寫權限,uid 165536 具有文件 165536file 的讀寫權限,任何用戶都可以讀寫 testfile 文件:

技術分享圖片

下面把這幾個文件以數據卷的方式掛載到容器中,並檢查從容器中訪問它們的權限:

$ docker run -it --name test -w=/testv -v $(pwd)/testv:/testv ubuntu

技術分享圖片

容器中的 root 用戶只能訪問 165536file 和 testfile,說明這個用戶在宿主機中只有非常有限的權限。

在容器中禁用 user namespace

一旦為 docker daemon 設置了 "userns-remap" 參數,所有的容器默認都會啟用用戶隔離的功能(默認創建一個新的 user namespace)。有些情況下我們可能需要回到沒有開啟用戶隔離的場景,這時可以通過 --userns=host 參數為單個的容器禁用用戶隔離功能。--userns=host 參數主要給下面三個命令使用:

docker container create
docker container run
docker container exec

比如執行下的命令:

$ docker run -d --userns=host --name sleepme ubuntu sleep infinity

查看進程信息:

技術分享圖片

進程的有效用戶又成 root 了,並且也沒有為進程創建新的 user namespace:

技術分享圖片

已知問題

User namespace 屬於比較高級的功能,目前 docker 對它的支持還算不上完美,下面是已知的幾個和現有功能不兼容的問題:

  • 共享主機的 PID 或 NET namespace(--pid=host or --network=host)
  • 外部的存儲、數據卷驅動可能不兼容、不支持 user namespace
  • 使用 --privileged 而不指定 --userns=host

總結

Docker 是支持 user namespace 的,並且配置的方式也非常簡便。在開啟 user namespace 之後我們享受到了安全性的提升,但同時也會因為種種限制讓其它的個別功能出現問題。這時我們需要作出選擇,告別一刀切的決策,讓合適的功能出現的合適的場景中。

參考:
Understanding how uid and gid work in Docker containers
Introduction to User Namespaces in Docker Engine
Isolate containers with a user namespace

隔離 docker 容器中的用戶

相關推薦

隔離 docker 容器中的用

pre 然而 ping htm spa 用戶 nic exe 完美 筆者在前文《理解 docker 容器中的 uid 和 gid》介紹了 docker 容器中的用戶與宿主機上用戶的關系,得出的結論是:docker 默認沒有隔離宿主機用戶和容器中的用戶。如果你已經了解了 Li

隔離 docker 容器中的使用者

筆者在前文《理解 docker 容器中的 uid 和 gid》介紹了 docker 容器中的使用者與宿主機上使用者的關係,得出的結論是:docker 預設沒有隔離宿主機使用者和容器中的使用者。如果你已經瞭解了 Linux 的 user namespace 技術(參考《Linux Namespace : Use

overlay 是如何隔離的?- 每天5分鐘玩轉 Docker 容器技術(53)

network one 默認 img ipam system mona lin 技術 不同的 overlay 網絡是相互隔離的。我們創建第二個 overlay 網絡 ov_net2 並運行容器 bbox3。 bbox3 分配到的 IP 是 10.0.1.2,嘗試 pi

macvlan 網絡隔離和連通 - 每天5分鐘玩轉 Docker 容器技術(57)

不能 數據包 ann float bsp 分鐘 uci tables mage 上一節我們創建了兩個 macvlan 並部署了容器,網絡結構如下: 本節驗證 macvlan 之間的連通性。 bbox1 能 ping 通 bbox3,bbox2

flannel 的連通與隔離 - 每天5分鐘玩轉 Docker 容器技術(61)

docker 教程 容器 上一節我們在 flannel 網絡中部署了容器本節討論 flannel 的連通和隔離特性。flannel 網絡連通性測試 bbox1 和 bbxo2 的連通性bbox1 能夠 ping 到位於不同 subnet 的 bbox2通過 traceroute 分析一下 bbox

容器在 Weave 中如何通信和隔離?- 每天5分鐘玩轉 Docker 容器技術(65)

docker 教程 容器 上一節我們分析了 Weave 的網絡結構,今天討論 Weave 的連通和隔離特性。首先在host2 執行如下命令:weave launch 192.168.56.104這裏必須指定 host1 的 IP 192.168.56.104,這樣 host1 和 host2 才能

基於LXCFS增強docker容器隔離性的分析

1. 背景 容器虛擬化帶來輕量高效,快速部署的同時,也因其隔離性不夠徹底,給使用者帶來一定程度的使用不便。Docker容器由於Linux核心namespace本身還不夠完善的現狀(例如,沒有cgroup namespace,user namespace也是在kernel

Docker容器實現原理及容器隔離性踩坑介紹

正如Docker官方的口號:“Build once,Run anywhere,Configure once,Run anyt

如何獲取 Greenplum 中用最後登錄時間和登錄頻率

數據庫 它的 ocs 登錄 super guid .html from user 這幾天搞系統遷移,老板突然想知道給客戶開的那麽多用戶當中,哪些還在用,哪些已經不用了。我們的數據庫是 Greenplum,而且還是一直沒有升級的老版本,Google 了一下沒有發現特別好的查看

調試 Dockerfile - 每天5分鐘玩轉 Docker 容器技術(15)

top add font tom middle 程序 ria family 是個 包括 Dockerfile 在內的任何腳本和程序都會出錯。有錯並不可怕,但必須有辦法排查,所以本節討論如何 debug Dockerfile。 先回顧一下通過 Dockerfile 構建鏡像

Dockerfile 常用指令 - 每天5分鐘玩轉 Docker 容器技術(16)

依次 官方文檔 構建 bottom str -s 暴露 工作 12px 是時候系統學習 Dockerfile 了。下面列出了 Dockerfile 中最常用的指令,完整列表和說明可參看官方文檔。 FROM指定 base 鏡像。 MAINTAINER設置鏡像的作

Smarty中用自定義插件

cti 定義 用戶 otl lib 關鍵詞 tab 函數類型 關聯 用戶自定義插件:     {ts:變量|函數[:參數]}:修飾函數插件(modify)     {ts:插件名 屬性=值 屬性=值...} 函數類型插件(function)     {ts:插件名 屬性=

RUN vs CMD vs ENTRYPOINT - 每天5分鐘玩轉 Docker 容器技術(17)

docker 教程 容器 RUN、CMD 和 ENTRYPOINT 這三個 Dockerfile 指令看上去很類似很容易混淆。本節將通過實踐詳細討論它們的區別。簡單的說RUN 執行命令並創建新的鏡像層RUN 經常用於安裝軟件包。CMD 設置容器啟動後默認執行的命令及其參數但 CMD 能夠被 doc

使用公共 Registry - 每天5分鐘玩轉 Docker 容器技術(19)

docker 教程 容器 保存和分發鏡像的最直接方法就是使用 Docker Hub。Docker Hub 是 Docker 公司維護的公共 Registry。用戶可以將自己的鏡像保存到 Docker Hub 免費的 repository 中。如果不希望別人訪問自己的鏡像,也可以購買私有 repos

Docker 鏡像小結 - 每天5分鐘玩轉 Docker 容器技術(21)

列表 例如 normal one sys tro docker comm color 本節我們對 Docker 鏡像做個小結。 這一部分我們首先討論了鏡像的分層結構,然後學習了如何構建鏡像,最後實踐使用 Docker Hub 和本地 registry。 下面是鏡像的常用操作

現實項目中用隨意添加序號,如何用SQL解決序號連續性問題

font cast 語言 另一個 有時 -1 col .com end 前段時間,一直忙於學習golang語言,沒有時間整理項目中用到的方法,今天趁著有空寫下筆記。 項目中,遇到一個比較"刁鉆"的需求:用戶用Excel導入到系統裏,每一行前面都有一個序號,序號分成兩

如何運行容器?- 每天5分鐘玩轉 Docker 容器技術(22)

docker 教程 容器 上一章我們學習了如何構建 Docker 鏡像,並通過鏡像運行容器。本章將深入討論容器:學習容器的各種操作,容器各種狀態之間如何轉換,以及實現容器的底層技術。運行容器docker run 是啟動容器的方法。在討論 Dockerfile 時我們已經學習到,可用三種方式指定容器

兩種進入容器的方法 - 每天5分鐘玩轉 Docker 容器技術(23)

工作 技術 啟動進程 gin attach ant while col -c 我們經常需要進到容器裏去做一些工作,比如查看日誌、調試、啟動其他進程等。有兩種方法進入容器:attach 和 exec。 docker attach 通過 docker attach 可以 a

Docker基本命令與使用 —— Docker容器(一)

使用 -a 基本 com sta start 日誌 靜態頁面 don 一.容器的基本操作 1. 啟動容器 docker run IMAGE [COMMAND] [ARG...] run 在新容器中執行命令 eg: docker run ubuntu echo ‘He

運行容器的最佳實踐 - 每天5分鐘玩轉 Docker 容器技術(24)

oat add vertical poi can size 執行命令 後臺 運行 按用途容器大致可分為兩類:服務類容器和工具類的容器。 1. 服務類容器以 daemon 的形式運行,對外提供服務。比如 web server,數據庫等。通過 -d 以後臺方式啟動這類容器是非常