首页 yabo88狗亚app 服务器 大yabo88狗亚app--任意三数字加yabo.com直达官网 存储 IT 安全 物联网 软件 商品

云计算

云趋势频道旗下栏目: 亚搏娱乐 亚博电子游戏app 云开发 云趋势

我们为什么不允许非root用户在CentOS直接运行Docker命令

来源:dockone ??发布时间:2019-09-01
摘要:容器技术***的弱点是安全性不足,Docker也不例外。因此,如何加强Docker的安全性是每一个Docker用户必须慎重考虑的问题。这篇文章介绍了不用sudo而直接运行Docker命令所存在的安全漏洞,并强烈建议通过设置sudo规则作为暂时的解决方法。 我经常会收到用户

容器技术***的弱点是安全性不足,Docker也不例外。因此,如何加强Docker的安全性是每一个Docker用户必须慎重考虑的问题。这篇文章介绍了不用sudo而直接运行Docker命令所存在的安全漏洞,并强烈建议通过设置sudo规则作为暂时的解决方法。

我经常会收到用户反馈的Bug,他们问我们『为什么默认情况下不能使用非root用户直接运行Docker命令』。

Docker能够将/run/docker.socket的文件访问权限设为660,并将其所属的用户组设为docker。 这使得非root用户只要加入docker用户组,就无需使用sudo,或者通过su命令切换到root用户的情况下运行Docker命令。这听起来很不错。

  1. ls?-l?/var/run/docker.sock??
  2. srw-rw----.?1?root?docker?0?Aug??3?13:02?/var/run/docker.sock?

但是,在RHEL、Fedora和CentOS上,我们更喜欢将doker.socket设置为:

  1. ls?-l?/var/run/docker.sock??
  2. srw-rw----.?1?root?root?0?Aug??3?13:02?/var/run/docker.sock?

为什么呢?原因很简单:如果用户可以与Docker Socket通信,他们就能够执行以下命令:

  1. docker?run?-ti?--privileged?-v?/:/host?fedora?chroot?/host?

这时用户将拥有主机的完全控制权。这就相当于将sudoers文件修改为以下内容(译者注:dwalsh为用户名):

  1. grep?dwalsh?/etc/sudoers?
  2. dwalsh??ALL=(ALL)???NOPASSWD:?ALL?

这将允许(dwalsh)用户无密码运行所有命令,获得主机的完全控制权。但是这有一个很大的安全漏洞。Docker命令没有内置的审计和日志功能,但是sudo有。

Docker目前会记录事件,但是Docker daemon重启时事件会消失。Docker目前没有审计功能。

从安全性的角度,红帽已经表达了允许非root用户在没有审计(auditing)和适当的日志的情况下访问Docker Daemon的顾虑。我们已经在PR14446实现了这些控制,它依靠了一个认证机制,但这个机制还在讨论中。在我们实现了审计和日志功能之前,我们推荐通过设置sudo规则来访问Docker Daemon。这将允许sudo来提供审计和日志功能。

设置sudo规则

如果你希望非root用户能够直接执行Docker命令,我们推荐通过设置sudo规则来实现。下面是设置Docker规则的简单教程。

在/ect/sudoers中添加以下内容: [译者注:使用visudo命令修改]

  1. grep?dwalsh?/etc/sudoers?
  2. dwalsh????????ALL=(ALL)???????NOPASSWD:?/usr/bin/docker?

这允许特定用户无需密码直接执行Docker命令。

注意:我并不推荐使用NOPASSWD,这可能会导致你的系统中的任意进程都能获取root权限。如果你要求使用密码,则用户在运行Docker命令时需要输入密码,这将使得系统稍微安全一点。如果执行命令时输入了一次密码,则sudo将允许你在5分钟内再次运行Docker命令时不再需要输入密码。

紧接着,为Docker命令设置别名。

  1. alias?docker="sudo?/usr/bin/docker"?

现在,非root用户将被允许直接执行Docker命令(译者注:不需要使用sudo),并且记录了日志。

  1. docker?run?-ti?--privileged?-v?/:/host?fedora?chroot?/host?

查看journal日志或者/var/log信息:

  1. journalctl?-b?|?grep?docker.*privileged?
  2. Aug?04?09:02:56?dhcp-10-19-62-196.boston.devel.redhat.com?sudo[23422]:???dwalsh?:?TTY=pts/3??

查看审计日志:

  1. ausearch?-m?USER_ROLE_CHANGE?-i?
  2. yabo88狗亚apptype=USER_ROLE_CHANGE?msg=audit(08/04/2015?09:02:56.514:1460)?:?pid=23423?uid=root?auid=dwalsh?ses=1?subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023?msg='newrole:?old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023?
  3. new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023?exe=/usr/bin/sudo?hostname=??addr=??terminal=/dev/pts/3?res=success'?

更强的安全性

如果你打算只允许用户访问一个特定的容器,你可以写一个简单的脚本:

  1. cat?/usr/bin/docker-fedora?
  2. #!/bin/sh?
  3. docker?run?-ti?--rm?fedora?/bin/sh?