需要用root用戶運(yùn)行Docker?
組織中,經(jīng)常以Root用戶運(yùn)行Docker中的容器。但是你的工作負(fù)載真的需要root權(quán)限嗎?顯然很少。盡管如此,默認(rèn)情況下,你的容器仍將以root用戶身份運(yùn)行,但這可能會帶來嚴(yán)重的安全問題。實(shí)際上,如果以root用戶運(yùn)行容器內(nèi)部的進(jìn)程,就是以root用戶身份運(yùn)行主機(jī)的進(jìn)程。這就為那些惡意訪問主機(jī)的攻擊者,提供了機(jī)會。
只需在常用的任何鏡像上使用以下命令,你就可以自己查看它使用的用戶身份,
$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
# ps aux
PID USER TIME COMMAND
1 root 0:10 sh
顯然,作為最佳實(shí)踐,我們應(yīng)該避免以超級用戶身份運(yùn)行容器。因此,讓我們看看如何以非root用戶身份運(yùn)行容器。
將非root用戶添加到Dockerfile
你可以在Dockerfile中使用RUN命令創(chuàng)建用戶,這個(gè)用戶僅具有容器內(nèi)工作負(fù)載所需的權(quán)限。
RUN groupadd --gid 5000 newuser
&& useradd --home-dir /home/newuser --create-home --uid 5000
--gid 5000 --shell /bin/sh --skel /dev/null newuser
上面的命令行創(chuàng)建了一個(gè)用戶newuser, 并指定了用戶登錄后使用的主目錄和shell 。如下所示,將用戶添加到你的Dockerfile中:
FROM ubuntu:18.04
COPY . /myApp
RUN make /myapp
...
USER newuser
CMD Python /myapp/hello.py
從第5行開始,每個(gè)命令都是以newuser身份而不是root身份運(yùn)行。是不是很簡單?
但是,我們并不總是僅使用自定義鏡像。我們還使用了許多第三方鏡像,因此我們無法像上面那樣將root權(quán)限的用戶注入其中。
這些第三方Docker鏡像默認(rèn)情況下將以root用戶身份運(yùn)行,除非我們對其進(jìn)行處理。如果你使用不知名來源中的鏡像,那么該鏡像很可能嵌入了惡意命令,這就可能會影響集群的安全性。
Kubernetes中Pod安全上下文和Pod安全策略,可以幫助我們以非root身份運(yùn)行三方鏡像。
使用Pod安全上下文
你可以使用Pod安全上下文,將Pod的執(zhí)行限制為特定的非root用戶。通過在Pod規(guī)范中添加一個(gè)字段securityContext,就可以為Pod指定這些安全設(shè)置 。
apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
securityContext: runAsUser: 5000 runAsGroup: 5000 volumes: - name: my-vol emptyDir: {} containers: - name: my-container image: hello-world command: ["sh", "-c", "sleep 10 m"] volumeMounts: - name: my-vol mountPath: /data/hello securityContext: allowPrivilegeEscalation: false
在以上規(guī)范中,我們創(chuàng)建了一個(gè)為非root的用戶,runAsUser指定Pod內(nèi)的任何容器 僅以userID為5000的運(yùn)行。runAsGroup 指定的容器內(nèi)所有進(jìn)程的組ID。否則,則組ID將是0。
現(xiàn)在,你可以創(chuàng)建此pod并檢查容器中運(yùn)行的進(jìn)程:
$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID USER TIME COMMAND
1 5000 0:00 sleep 10 m
6 5000 0:00 sh
如上所示,PID 1正在以userID為5000的用戶而不是root用戶身份運(yùn)行。
使用Kubernetes Pod安全策略
Kubernetes Pod安全策略定義了Pod必須運(yùn)行的條件。換句話說,如果不滿足這些條件,Kubernetes將阻止Pod運(yùn)行。
PodSecurityPolicy示例:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: my-psp
spec:
privileged: false
#Required to prevent escalations to root.
allowPrivilegeEscalation: false
allowedCapabilities:
- '*'
volumes:
- 'nfs'
hostNetwork: true
hostPorts:
- min: 8000
max: 8000
hostIPC: true
hostPID: true
runAsUser:
#Require the container to run without root.
rule: 'MustRunAsNonRoot'
selinux:
rule: 'RunAsAny'
supplementalGroups:
rule: 'RunAsAny'
fsGroup:
rule: 'RunAsAny'
該安全策略實(shí)現(xiàn)以下目的:
- 限制容器在特權(quán)模式下運(yùn)行。
- 限制需要根目錄的容器。
- 僅允許容器NFS存儲卷。
- 僅允許容器訪問主機(jī)端口8000。
應(yīng)用:
kubectl create -f my-psp.yaml
查看:
$ kubectl get psp
NAME PRIV RUNASUSER FSGROUP SELINUX VOLUMES
My-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]
現(xiàn)在已經(jīng)創(chuàng)建了策略,你可以通過嘗試以root特權(quán)運(yùn)行容器來對其進(jìn)行測試。
$ kubectl run --image=my-root-container
pod安全策略將禁止其運(yùn)行,并給出錯(cuò)誤消息:
$ kubectl get pods
NAME READY STATUS
my-root-pod 0/1 container has runAsNonRoot and image will run as root
結(jié)論
在這篇文章中,我強(qiáng)調(diào)了默認(rèn)設(shè)置下,使用root用戶運(yùn)行Docker容器有著固有風(fēng)險(xiǎn)。我還提出了多種方法來克服這種風(fēng)險(xiǎn)。
- 如果你正在運(yùn)行自定義鏡像,請創(chuàng)建一個(gè)新的非root用戶并在Dockerfile中指定它。
- 如果使用的是第三方鏡像,則可以在容器或容器級別設(shè)置安全上下文。
- 還有一種方法是創(chuàng)建一個(gè)Pod安全策略,該策略將不允許任何容器以root特權(quán)運(yùn)行。
原文鏈接:https://dzone.com/articles/docker-without-root-privileges
