我們?yōu)槭裁床辉试S非root用戶在centos直接運(yùn)行Docker命令

作者：翻譯：劉凱 2015-08-17 10:16:00

云計(jì)算 這篇文章介紹了不用sudo而直接運(yùn)行Docker命令所存在的安全漏洞，并強(qiáng)烈建議通過設(shè)置sudo規(guī)則作為暫時(shí)的解決方法。

創(chuàng)新互聯(lián)專注于企業(yè)成都營(yíng)銷網(wǎng)站建設(shè)、網(wǎng)站重做改版、禮縣網(wǎng)站定制設(shè)計(jì)、自適應(yīng)品牌網(wǎng)站建設(shè)、H5網(wǎng)站設(shè)計(jì)、成都做商城網(wǎng)站、集團(tuán)公司官網(wǎng)建設(shè)、成都外貿(mào)網(wǎng)站制作、高端網(wǎng)站制作、響應(yīng)式網(wǎng)頁(yè)設(shè)計(jì)等建站業(yè)務(wù)，價(jià)格優(yōu)惠性價(jià)比高，為禮縣等各大城市提供網(wǎng)站開發(fā)制作服務(wù)。

容器技術(shù)***的弱點(diǎn)是安全性不足，Docker也不例外。因此，如何加強(qiáng)Docker的安全性是每一個(gè)Docker用戶必須慎重考慮的問題。這篇文章介紹了不用sudo而直接運(yùn)行Docker命令所存在的安全漏洞，并強(qiáng)烈建議通過設(shè)置sudo規(guī)則作為暫時(shí)的解決方法。

我經(jīng)常會(huì)收到用戶反饋的Bug，他們問我們『為什么默認(rèn)情況下不能使用非root用戶直接運(yùn)行Docker命令』。

Docker能夠?qū)?run/docker.socket的文件訪問權(quán)限設(shè)為660，并將其所屬的用戶組設(shè)為docker。 這使得非root用戶只要加入docker用戶組，就無需使用sudo，或者通過su命令切換到root用戶的情況下運(yùn)行Docker命令。這聽起來很不錯(cuò)。

  
 
 

   
  
  
ls -l /var/run/docker.sock  
   
  
  
srw-rw----. 1 root docker 0 Aug  3 13:02 /var/run/docker.sock 
  
 
 

但是，在RHEL、Fedora和CentOS上，我們更喜歡將doker.socket設(shè)置為:

  
 
 

   
  
  
ls -l /var/run/docker.sock  
   
  
  
srw-rw----. 1 root root 0 Aug  3 13:02 /var/run/docker.sock 
  
 
 

為什么呢?原因很簡(jiǎn)單：如果用戶可以與Docker Socket通信，他們就能夠執(zhí)行以下命令:

  
 
 

   
  
  
docker run -ti --privileged -v /:/host fedora chroot /host 
  
 
 

這時(shí)用戶將擁有主機(jī)的完全控制權(quán)。這就相當(dāng)于將sudoers文件修改為以下內(nèi)容(譯者注：dwalsh為用戶名)：

  
 
 

   
  
  
grep dwalsh /etc/sudoers 
   
  
  
dwalsh  ALL=(ALL)   NOPASSWD: ALL 
  
 
 

這將允許(dwalsh)用戶無密碼運(yùn)行所有命令，獲得主機(jī)的完全控制權(quán)。但是這有一個(gè)很大的安全漏洞。Docker命令沒有內(nèi)置的審計(jì)和日志功能，但是sudo有。

Docker目前會(huì)記錄事件，但是Docker daemon重啟時(shí)事件會(huì)消失。Docker目前沒有審計(jì)功能。

從安全性的角度，紅帽已經(jīng)表達(dá)了允許非root用戶在沒有審計(jì)(auditing)和適當(dāng)?shù)娜罩镜那闆r下訪問Docker Daemon的顧慮。我們已經(jīng)在PR14446實(shí)現(xiàn)了這些控制，它依靠了一個(gè)認(rèn)證機(jī)制，但這個(gè)機(jī)制還在討論中。在我們實(shí)現(xiàn)了審計(jì)和日志功能之前，我們推薦通過設(shè)置sudo規(guī)則來訪問Docker Daemon。這將允許sudo來提供審計(jì)和日志功能。

設(shè)置sudo規(guī)則

如果你希望非root用戶能夠直接執(zhí)行Docker命令，我們推薦通過設(shè)置sudo規(guī)則來實(shí)現(xiàn)。下面是設(shè)置Docker規(guī)則的簡(jiǎn)單教程。

在/ect/sudoers中添加以下內(nèi)容: [譯者注：使用visudo命令修改]

  
 
 

   
  
  
grep dwalsh /etc/sudoers 
   
  
  
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker 
  
 
 

這允許特定用戶無需密碼直接執(zhí)行Docker命令。

注意：我并不推薦使用NOPASSWD，這可能會(huì)導(dǎo)致你的系統(tǒng)中的任意進(jìn)程都能獲取root權(quán)限。如果你要求使用密碼，則用戶在運(yùn)行Docker命令時(shí)需要輸入密碼，這將使得系統(tǒng)稍微安全一點(diǎn)。如果執(zhí)行命令時(shí)輸入了一次密碼，則sudo將允許你在5分鐘內(nèi)再次運(yùn)行Docker命令時(shí)不再需要輸入密碼。

緊接著，為Docker命令設(shè)置別名。

  
 
 

   
  
  
alias docker="sudo /usr/bin/docker" 
  
 
 

現(xiàn)在，非root用戶將被允許直接執(zhí)行Docker命令(譯者注：不需要使用sudo)，并且記錄了日志。

  
 
 

   
  
  
docker run -ti --privileged -v /:/host fedora chroot /host 
  
 
 

查看journal日志或者/var/log信息：

  
 
 

   
  
  
journalctl -b | grep docker.*privileged 
   
  
  
Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]:   dwalsh : TTY=pts/3  
  
 
 

查看審計(jì)日志：

  
 
 

   
  
  
ausearch -m USER_ROLE_CHANGE -i 
   
  
  
type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 
   
  
  
new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success' 
  
 
 

#p#

更強(qiáng)的安全性

如果你打算只允許用戶訪問一個(gè)特定的容器，你可以寫一個(gè)簡(jiǎn)單的腳本:

  
 
 

   
  
  
cat /usr/bin/docker-fedora 
   
  
  
#!/bin/sh 
   
  
  
docker run -ti --rm fedora /bin/sh 
  
 
 

寫好腳本之后，配置sudoers：

  
 
 

   
  
  
grep dwalsh /etc/sudoers 
   
  
  
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker-fedora 
  
 
 

這個(gè)用戶將僅能在沒有權(quán)限限制下運(yùn)行Fedora容器。

認(rèn)證

我們還在開發(fā)其它程序補(bǔ)丁來增強(qiáng)Docker Daemon安全性，其中包括認(rèn)證方面。我們有一個(gè)正在討論的問題#13697“為Docker增加kerberos支持”。

授權(quán)

我們還提議為Docker增加授權(quán)/RBAC(基于角色的訪問控制)，這樣管理員就可以控制哪些用戶可以使用哪些容器/鏡像進(jìn)行哪些活動(dòng)。如果你想查看這個(gè)提議或者評(píng)論或者提出建議，提議地址為：GitHub: rhatdan/docker-rbac。

結(jié)論

如果需要支持非root用戶直接運(yùn)行Docker命令之前，那Docker Daemon的安全性還需要很多改進(jìn)。但在這些改進(jìn)實(shí)現(xiàn)之前，設(shè)置sudo規(guī)則是***的選擇。我們正在開發(fā)更好的解決方案，暫時(shí)我們?nèi)匀粡?qiáng)烈推薦使用sudo。

原文鏈接：dockone.io/article/589

網(wǎng)頁(yè)名稱：我們?yōu)槭裁床辉试S非root用戶在CentOS直接運(yùn)行Docker命令
瀏覽地址：http://www.dlmjj.cn/article/dpdiiii.html