如何运行没有Root权限的Docker?干货来了!
作者 | Vaibhav Raizada
译者 | 天道酬勤责编 | 徐威龙
封图| CSDN 下载于视觉中国
在本文中,我们讨论了如何在没有root权限的情况下运行Docker,以便更好地管理容器中的安全性。
Docker作为Root用户
Docker以root用户身份运行其容器。但是你的工作负载真的需要root权限吗?答案是很少需要。尽管如此,默认情况下,你的容器仍将以root用户身份运行。这可能会带来严重的安全问题。实际上,以root用户身份在容器内部运行的进程实际上是在主机本身上以root用户身份运行的进程。这给恶意尝试获得对主机本身的不受限制的访问提供了机会。
你可以自己检查它,只需在常用的任何图像上使用以下命令:
Shell$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
/ # ps aux
PID USER TIME COMMAND
1 root 0:10 sh
显然,作为一种最佳实践,我们应该避免以超root用户身份运行容器。因此,我们如何解决此问题,让我们看看如何以非root用户身份运行容器。
将非超级用户添加到Dockerfile
创建一个仅具有容器内工作负载所需权限的用户。你可以在容器图像本身的Dockerfile中使用RUN命令创建用户。
DockerfileRUN groupadd --gid 5000 newuser \&& useradd --home-dir /home/newuser --create-home --uid 5000 \--gid 5000 --shell /bin/sh --skel /dev/null newuser
上面的代码行创建了一个用户newuser以及该用户的home和shell。现在,只需将用户添加到Dockerfile中,如以下示例所示:
DockerfileFROM ubuntu:18.04
COPY . /myapp
RUN make /myapp
...
USER newuser
CMD python /myapp/hello.py
从第7行(USER newuser)开始,每个命令都以newuser而不是root身份运行。这样做很简单,对不对?
但是,我们并不总是仅使用自定义的图像。我们还使用了许多第三方图像,因此我们无法像上面那样将非root用户注入到这些图像中。
默认情况下,这些第三方Docker图像将以root用户身份运行,除非我们对其进行处理。如果你使用的图像来自一个不太流行的源 ,那么该图像甚至可能嵌入了恶意命令,这可能会损害集群的安全性。
Kubernetes Pod安全上下文和Pod安全策略可以为我们提供帮助。
使用Pod安全上下文
你可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。要为Pod指定这些安全设置,请在Pod规范中添加securityContext字段。
YAMLapiVersion: v1
kind: Pod
metadata:name: my-pod
spec:securityContext:runAsUser: 5000runAsGroup: 5000volumes:- name: my-volemptyDir: {}containers:- name: my-containerimage: hello-worldcommand: ["sh", "-c", "sleep 10 m"]volumeMounts:- name: my-volmountPath: /data/hellosecurityContext:allowPrivilegeEscalation: false
在以上规范中,runAsUser指定pod内的任何容器仅使用userID 5000运行。这是我们专门为非root用户创建的用户。 runAsGroup指定所有进程的群组ID。如果我们不提及这一点,则群组ID将是root(0)。
现在,你可以创建此pod并检查容器中运行的进程:
Shell$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID USER TIME COMMAND1 5000 0:00 sleep 10 m6 5000 0:00 sh
如上所示,PID 1正在以userID 5000而不是root用户身份运行的。
使用Kubernetes Pod安全策略
Kubernetes Pod安全策略定义了Pod必须运行的条件, 否则,它不会在集群中提供。换句话说,如果不满足这些条件,Kubernetes将阻止Pod运行。
下面给出了一个示例PodSecurityPolicy:
YAMLapiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:name: my-psp
spec:privileged: false#Required to prevent escalations to root.allowPrivilegeEscalation: falseallowedCapabilities:- '*'volumes:- 'nfs'hostNetwork: truehostPorts:- min: 8000max: 8000hostIPC: truehostPID: truerunAsUser:#Require the container to run without root.rule: 'MustRunAsNonRoot'seLinux:rule: 'RunAsAny'supplementalGroups:rule: 'RunAsAny'fsGroup:rule: 'RunAsAny'
该安全策略实现以下目的:
限制容器在权限模式下运行。
限制需要root的容器。
限制访问除NFS卷以外的esvolumes的容器。
仅允许容器访问主机端口100。
激活策略:
Shell$ kubectl create -f my-psp.yaml
检查策略:
Shell$ kubectl get psp
NAME PRIV RUNASUSER FSGROUP SELINUX VOLUMES
My-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]
现在已经创建了策略,你可以通过尝试以root权限运行容器来对其进行测试。
Shell$ kubectl run --image=my-root-container
pod安全策略将禁止其运行并给出一个错误消息:
Shell$ kubectl get pods
NAME READY STATUS
my-root-pod 0/1 container has runAsNonRoot and image will run as root
结论
在这篇文章中,我们强调了在root用户的默认设置下运行Docker容器的固有风险。我们还提出了多种方法来克服这种风险。
如果你正在运行自定义图像,那么可以创建一个新的非root用户并在Dockerfile中指定它。
如果使用的是第三方图像,则可以在Pod或容器级别设置安全上下文。
还有一种方法是创建一个Pod安全策略,该策略将不允许任何容器以root权限运行。
如果有不清楚的地方或其他意见,欢迎评论告诉我们。
原文:https://dzone.com/articles/docker-without-root-privileges
2020 AI 开发者万人大会将于6月26日通过线上直播形式,让开发者们一站式学习了解当下 AI 的前沿技术研究、核心技术与应用以及企业案例的实践经验,同时还可以在线参加精彩多样的开发者沙龙与编程项目。参与前瞻系列活动、在线直播互动,不仅可以与上万名开发者们一起交流,还有机会赢取直播专属好礼,与技术大咖连麦。
今日福利:评论区留言入选,都可获得价值299元的「2020 AI开发者万人大会」在线直播门票一张。 快来动动手指,写下你想说的话吧!
推荐阅读:破解面试难题8个角度带你解读SQL面试技巧!
GitHub 接连封杀开源项目惹众怒,CEO 亲自道歉!
5 亿微博数据疑泄露,Python 爬虫如何避免踩天坑?
我就不信 35 岁做不了程序员!
在非托管钱包中可能会出现价值3000万美元的BCH SIM 交换黑客攻击吗?
对标Pytorch,清华团队推出自研AI框架“计图”
真香,朕在看了!
如何运行没有Root权限的Docker?干货来了!相关推荐
- 怎样以root权限进入Docker容器
这里主要是讲不需要在Docker容器内输入密码的方式,非常简单: 1. 首先在启用Docker容器的时候,必须加上--privileged=true.例: docker run -d -p 8888: ...
- Android系统权限和root权限的获取以及应用权限列表
Android权限说明 Android系统是运行在Linux内核上的,Android与Linux分别有自己的一套严格的安全及权限机制. 一.linux文件系统上的权限 -rwxr-x--x syste ...
- android root权限破解分析
破解android的root权限的本质是:在系统中加入一个任何用户都可能用于登陆的su命令.或者说替换掉系统中的su程序,因为系统中的默认su程序需要验证实际用户权限,只有root和 shell用户才 ...
- 破解的iphone上, 如何编写具有root权限的程序
破解的iphone上, 如何编写具有root权限的程序 正常途径下, 我们编写的程序发布在App store上, 使用官方规定的SDK. 但有些时候, 正常途径实现不了的功能, 可以在破解的iphon ...
- 对Android系统权限的认识(包含如何获得root权限思路)
点击打开链接 Android系统是运行在Linux内核上的,Android与Linux分别有自己的一套严格的安全及权限机制, Android系统权限相关的内容, (一)linux文件系统上的权限 -r ...
- Android应用如何获取System权限和root权限
Android应用获取System权限的方式有以下两种: 第一种: 需要在Android系统源码的环境下用make来编译: 1. 在应用程序的AndroidManifest.xml中的manifest ...
- Android 操作系统 获取Root权限 原理解析
android root权限破解分析 许多机友新购来的Android机器没有破解过Root权限,无法使用一些需要高权限的软件,以及进行一些高权限 的操作,其实破解手机Root权限是比较简单 及安全的, ...
- iOS越狱之程序获得root权限
正常途径下, 我们编写的程序发布在App store上, 使用官方规定的SDK. 但有些时候, 正常途径实现不了的功能, 可以在破解的iphone上面实现. 以cydia上文件管理软件iFile为例, ...
- 容器 root权限运行_【漏洞通告】Containerd容器逃逸漏洞通告 (CVE202015257)
2020年12月1日,Containerd发布更新,修复了一个可造成容器逃逸的漏洞CVE-2020-15257,并公开了相关说明.通过受影响的API接口,攻击者可以利用该漏洞以root权限执行代码,实 ...
最新文章
- SqlDataSource 執行資料篩選
- Ribbon 与 Nginx 区别
- 一周刷题记录 | WebMisc
- Storage API简介和存储限制与逐出策略
- python赋值语句的一般格式为_[零基础学Python]赋值,简单也不简单
- nssl1511-我的世界【堆,贪心】
- 图像风格转换V3算法
- 为什么11·11物流一年比一年快?奥秘就在这里!
- win7 64位下 memcached安装
- 使用OTDR进行双向光纤测试
- Unity---MainTemplate.gradle配置取消v2签名
- Office word中去掉首页的页眉
- python重启路由器_利用python重启路由器
- leetcode:1788.Maximize the Beauty of the Garden
- Apache Jena配置
- 智课雅思词汇---二十六、形容词后缀-ble
- linux中 #chmod –R 777 * 是什么意思
- 阿里云大数据分析师职业认证
- 安装mathpix注册不了账户:unexcepted error
- Could not connect to broker URL: tcp://localhost:61616?wireFormat.maxInactivityDuration=0wireForma
热门文章
- html语言可以干什么,JavaScript语言能做什么?
- u2020 华为_华为MateBook X Pro 2020款评测:全面屏商务旗舰再升级
- golang string转int8_golang 中string和int类型相互转换
- 热泵精馏_异丙醇丙酮氢气化学热泵技术验证示范平台建成并完成调试
- vue 修改模板{{}}标签_vue-admin-template模板添加tagsview
- 一生只为两件事,他的名字曾是中国高级机密!
- 800万,这位两院院士全捐了!
- 校长回应8名考生放弃清华北大:不喜欢学医才去其他
- 做科研,到底应该看什么?
- (pytorch-深度学习)包含并行连结的网络(GoogLeNet)