写点什么

如何以非 root 用户运行 Docker 容器

作者:琦彦
  • 2022 年 10 月 05 日
    中国香港
  • 本文字数:2063 字

    阅读完需:约 7 分钟

如何以非root用户运行Docker容器

需要用 root 用户运行 Docker?

组织中,经常以 Root 用户运行 Docker 中的容器。但是你的工作负载真的需要 root 权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以 root 用户身份运行。但这可能会带来严重的安全问题。实际上,如果以 root 用户运行容器内部的进程,就是以 root 用户身份运行主机的进程。这就为那些恶意访问主机的攻击者,提供了机会。


只需在常用的任何镜像上使用以下命令,你就可以自己查看它使用的用户身份,


$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh# ps auxPID   USER     TIME  COMMAND  1   root     0:10  sh
复制代码


显然,作为最佳实践,我们应该避免以超级用户身份运行容器。因此,让我们看看如何以非 root 用户身份运行容器。

将非 root 用户添加到 Dockerfile

你可以在 Dockerfile 中使用 RUN 命令创建用户,这个用户仅具有容器内工作负载所需的权限。


RUN groupadd --gid 5000 newuser \    && useradd --home-dir /home/newuser --create-home --uid 5000 \        --gid 5000 --shell /bin/sh --skel /dev/null newuser
复制代码


上面的命令行创建了一个用户newuser, 并指定了用户登录后使用的主目录和 shell 。如下所示,将用户添加到你的 Dockerfile 中:


FROM ubuntu:18.04COPY . /myappRUN make /myapp...USER newuserCMD python /myapp/hello.py
复制代码


从第 5 行开始,每个命令都是以newuser身份而不是 root 身份运行。是不是很简单?


但是,我们并不总是仅使用自定义镜像。我们还使用了许多第三方镜像,因此我们无法像上面那样将 root 权限的用户注入其中。


这些第三方 Docker 镜像默认情况下将以 root 用户身份运行,除非我们对其进行处理。如果你使用不知名来源中的镜像,那么该镜像很可能嵌入了恶意命令,这就可能会影响集群的安全性。


Kubernetes 中 Pod 安全上下文和 Pod 安全策略,可以帮助我们以非 root 身份运行三方镜像。

使用 Pod 安全上下文

你可以使用 Pod 安全上下文,将 Pod 的执行限制为特定的非 root 用户。通过在 Pod 规范中添加一个字段securityContext,就可以为 Pod 指定这些安全设置 。


apiVersion: v1kind: Podmetadata:  name: my-podspec:  securityContext:    runAsUser: 5000    runAsGroup: 5000  volumes:  - name: my-vol    emptyDir: {}  containers:  - name: my-container    image: hello-world    command: ["sh", "-c", "sleep 10 m"]    volumeMounts:    - name: my-vol      mountPath: /data/hello    securityContext:      allowPrivilegeEscalation: false
复制代码


在以上规范中,我们创建了一个为非 root 的用户,runAsUser指定 Pod 内的任何容器 仅以 userID 为5000的运行。runAsGroup 指定的容器内所有进程的组 ID。否则,则组 ID 将是 0。


现在,你可以创建此 pod 并检查容器中运行的进程:


$ kubectl apply -f my-pod.yaml$ kubectl exec -it my-pod – shpsPID   USER     TIME  COMMAND  1   5000     0:00  sleep 10 m  6   5000     0:00  sh
复制代码


如上所示,PID 1 正在以 userID 为 5000 的用户而不是 root 用户身份运行。

使用 Kubernetes Pod 安全策略

Kubernetes Pod 安全策略定义了 Pod 必须运行的条件。换句话说,如果不满足这些条件,Kubernetes 将阻止 Pod 运行。


PodSecurityPolicy 示例:


apiVersion: policy/v1beta1kind: PodSecurityPolicymetadata:  name: my-pspspec:  privileged: false  #Required to prevent escalations to root.  allowPrivilegeEscalation: false  allowedCapabilities:  - '*'  volumes:  - 'nfs'  hostNetwork: true  hostPorts:  - min: 8000    max: 8000  hostIPC: true  hostPID: true  runAsUser:    #Require the container to run without root.    rule: 'MustRunAsNonRoot'  seLinux:    rule: 'RunAsAny'  supplementalGroups:    rule: 'RunAsAny'  fsGroup:    rule: 'RunAsAny'
复制代码


该安全策略实现以下目的:


  • 限制容器在特权模式下运行。

  • 限制需要根目录的容器。

  • 仅允许容器 NFS 存储卷。

  • 仅允许容器访问主机端口 8000。


应用:


kubectl create -f my-psp.yaml
复制代码


查看:


$ kubectl get pspNAME    PRIV   RUNASUSER         FSGROUP   SELINUX   VOLUMESMy-psp  false  MustRunAsNonRoot  RunAsAny  RunAsAny  [nfs]
复制代码


现在已经创建了策略,你可以通过尝试以 root 特权运行容器来对其进行测试。


$ kubectl run --image=my-root-container
复制代码


pod 安全策略将禁止其运行,并给出错误消息:


$ kubectl get podsNAME         READY    STATUS     my-root-pod  0/1      container has runAsNonRoot and image will run as root
复制代码

结论

在这篇文章中,我强调了默认设置下,使用 root 用户运行 Docker 容器有着固有风险。我还提出了多种方法来克服这种风险。


  • 如果你正在运行自定义镜像,请创建一个新的非 root 用户并在 Dockerfile 中指定它。

  • 如果使用的是第三方镜像,则可以在容器或容器级别设置安全上下文。

  • 还有一种方法是创建一个 Pod 安全策略,该策略将不允许任何容器以 root 特权运行。


译文链接: https://dzone.com/articles/docker-without-root-privileges


发布于: 刚刚阅读数: 3
用户头像

琦彦

关注

孤独的技术没有价值 2019.08.24 加入

还未添加个人简介

评论

发布
暂无评论
如何以非root用户运行Docker容器_Docker_琦彦_InfoQ写作社区