如何运行没有Root权限的Docker?干货来了!
作者 | Vaibhav Raizada
译者 | 天道酬勤责编 | 徐威龙
封图| CSDN 下载于视觉中国
Docker作为Root用户
Docker以root用户身份运行其容器。但是你的工作负载真的需要root权限吗?答案是很少需要。尽管如此,默认情况下,你的容器仍将以root用户身份运行。这可能会带来严重的安全问题。实际上,以root用户身份在容器内部运行的进程实际上是在主机本身上以root用户身份运行的进程。这给恶意尝试获得对主机本身的不受限制的访问提供了机会。
你可以自己检查它,只需在常用的任何图像上使用以下命令:
Shell
$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
/ # ps aux
PID USER TIME COMMAND
1 root 0:10 sh
显然,作为一种最佳实践,我们应该避免以超root用户身份运行容器。因此,我们如何解决此问题,让我们看看如何以非root用户身份运行容器。
创建一个仅具有容器内工作负载所需权限的用户。你可以在容器图像本身的Dockerfile中使用RUN命令创建用户。
Dockerfile
RUN groupadd --gid 5000 newuser \
&& useradd --home-dir /home/newuser --create-home --uid 5000 \
--gid 5000 --shell /bin/sh --skel /dev/null newuser
上面的代码行创建了一个用户newuser以及该用户的home和shell。现在,只需将用户添加到Dockerfile中,如以下示例所示:
Dockerfile
FROM ubuntu:18.04
COPY . /myapp
RUN make /myapp
...
USER newuser
CMD python /myapp/hello.py
从第7行(USER newuser)开始,每个命令都以newuser而不是root身份运行。这样做很简单,对不对?
但是,我们并不总是仅使用自定义的图像。我们还使用了许多第三方图像,因此我们无法像上面那样将非root用户注入到这些图像中。
默认情况下,这些第三方Docker图像将以root用户身份运行,除非我们对其进行处理。如果你使用的图像来自一个不太流行的源 ,那么该图像甚至可能嵌入了恶意命令,这可能会损害集群的安全性。
Kubernetes Pod安全上下文和Pod安全策略可以为我们提供帮助。
使用Pod安全上下文
你可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。要为Pod指定这些安全设置,请在Pod规范中添加securityContext字段。
YAML
apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
securityContext:
runAsUser: 5000
runAsGroup: 5000
volumes:
- name: my-vol
emptyDir: {}
containers:
- name: my-container
image: hello-world
command: ["sh", "-c", "sleep 10 m"]
volumeMounts:
- name: my-vol
mountPath: /data/hello
securityContext:
allowPrivilegeEscalation: false
$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID USER TIME COMMAND
1 5000 0:00 sleep 10 m
6 5000 0:00 sh
如上所示,PID 1正在以userID 5000而不是root用户身份运行的。
Kubernetes Pod安全策略定义了Pod必须运行的条件, 否则,它不会在集群中提供。换句话说,如果不满足这些条件,Kubernetes将阻止Pod运行。
下面给出了一个示例PodSecurityPolicy:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: my-psp
spec:
privileged: false
#Required to prevent escalations to root.
allowPrivilegeEscalation: false
allowedCapabilities:
- '*'
volumes:
- 'nfs'
hostNetwork: true
hostPorts:
- min: 8000
max: 8000
hostIPC: true
hostPID: true
runAsUser:
#Require the container to run without root.
rule: 'MustRunAsNonRoot'
seLinux:
rule: 'RunAsAny'
supplementalGroups:
rule: 'RunAsAny'
fsGroup:
rule: 'RunAsAny'
该安全策略实现以下目的:
限制容器在权限模式下运行。
限制需要root的容器。
限制访问除NFS卷以外的esvolumes的容器。
仅允许容器访问主机端口100。
激活策略:
Shell
$ kubectl create -f my-psp.yaml
检查策略:
Shell
$ kubectl get psp
NAME PRIV RUNASUSER FSGROUP SELINUX VOLUMES
My-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]
Shell
$ kubectl run --image=my-root-container
Shell
$ kubectl get pods
NAME READY STATUS
my-root-pod 0/1 container has runAsNonRoot and image will run as root
在这篇文章中,我们强调了在root用户的默认设置下运行Docker容器的固有风险。我们还提出了多种方法来克服这种风险。
如果你正在运行自定义图像,那么可以创建一个新的非root用户并在Dockerfile中指定它。
如果使用的是第三方图像,则可以在Pod或容器级别设置安全上下文。
还有一种方法是创建一个Pod安全策略,该策略将不允许任何容器以root权限运行。
如果有不清楚的地方或其他意见,欢迎评论告诉我们。
原文:https://dzone.com/articles/docker-without-root-privileges
破解面试难题8个角度带你解读SQL面试技巧! GitHub 接连封杀开源项目惹众怒,CEO 亲自道歉! 5 亿微博数据疑泄露,Python 爬虫如何避免踩天坑? 我就不信 35 岁做不了程序员! 在非托管钱包中可能会出现价值3000万美元的BCH SIM 交换黑客攻击吗?
对标Pytorch,清华团队推出自研AI框架“计图”