您当前的位置:首页 > 电脑百科 > 程序开发 > 容器

如何以非root用户运行Docker容器

时间:2020-04-07 11:21:00  来源:  作者:

需要用root用户运行Docker

组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行,但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主机的攻击者,提供了机会。

只需在常用的任何镜像上使用以下命令,你就可以自己查看它使用的用户身份,

$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
# ps aux
PID   USER     TIME  COMMAND
1   root     0:10  sh

显然,作为最佳实践,我们应该避免以超级用户身份运行容器。因此,让我们看看如何以非root用户身份运行容器。

将非root用户添加到Dockerfile

你可以在Dockerfile中使用RUN命令创建用户,这个用户仅具有容器内工作负载所需的权限。

RUN groupadd --gid 5000 newuser 
  && useradd --home-dir /home/newuser --create-home --uid 5000 
    --gid 5000 --shell /bin/sh --skel /dev/null newuser

上面的命令行创建了一个用户newuser, 并指定了用户登录后使用的主目录和shell 。如下所示,将用户添加到你的Dockerfile中:

FROM ubuntu:18.04
COPY . /myApp
RUN make /myapp
...
USER newuser
CMD Python /myapp/hello.py

从第5行开始,每个命令都是以newuser身份而不是root身份运行。是不是很简单?

但是,我们并不总是仅使用自定义镜像。我们还使用了许多第三方镜像,因此我们无法像上面那样将root权限的用户注入其中。

这些第三方Docker镜像默认情况下将以root用户身份运行,除非我们对其进行处理。如果你使用不知名来源中的镜像,那么该镜像很可能嵌入了恶意命令,这就可能会影响集群的安全性。

Kubernetes中Pod安全上下文和Pod安全策略,可以帮助我们以非root身份运行三方镜像。

 

使用Pod安全上下文

你可以使用Pod安全上下文,将Pod的执行限制为特定的非root用户。通过在Pod规范中添加一个字段securityContext,就可以为Pod指定这些安全设置 。

apiVersion: v1
kind: Pod
metadata:	
 	name: my-pod
spec:  
securityContext:    runAsUser: 5000    runAsGroup: 5000  volumes:  - name: my-vol    emptyDir: {}  containers:  - name: my-container    image: hello-world    command: ["sh", "-c", "sleep 10 m"]    volumeMounts:    - name: my-vol      mountPath: /data/hello    securityContext:      allowPrivilegeEscalation: false

在以上规范中,我们创建了一个为非root的用户,runAsUser指定Pod内的任何容器 仅以userID为5000的运行。runAsGroup 指定的容器内所有进程的组ID。否则,则组ID将是0。

现在,你可以创建此pod并检查容器中运行的进程:

$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID   USER     TIME  COMMAND  
1   5000     0:00  sleep 10 m 
6   5000     0:00  sh

如上所示,PID 1正在以userID为5000的用户而不是root用户身份运行。

使用Kubernetes Pod安全策略

Kubernetes Pod安全策略定义了Pod必须运行的条件。换句话说,如果不满足这些条件,Kubernetes将阻止Pod运行。

PodSecurityPolicy示例:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
	name: my-psp
spec:
	privileged: false  
	#Required to prevent escalations to root.  
	allowPrivilegeEscalation: false  
	allowedCapabilities:  
	- '*' 
	volumes:  
	- 'nfs'  
	hostNetwork: true  
	hostPorts:  
	- min: 8000    
		max: 8000  
	hostIPC: true  
	hostPID: true  
	runAsUser:    
		#Require the container to run without root.    
    rule: 'MustRunAsNonRoot'  
	selinux:    
		rule: 'RunAsAny'  
	supplementalGroups:    
		rule: 'RunAsAny'  
	fsGroup:    
		rule: 'RunAsAny'

该安全策略实现以下目的:

  • 限制容器在特权模式下运行。
  • 限制需要根目录的容器。
  • 仅允许容器NFS存储卷。
  • 仅允许容器访问主机端口8000。

应用:

kubectl create -f my-psp.yaml

查看:

$ kubectl get psp
NAME    PRIV   RUNASUSER         FSGROUP   SELINUX   VOLUMES
My-psp  false  MustRunAsNonRoot  RunAsAny  RunAsAny  [nfs]

现在已经创建了策略,你可以通过尝试以root特权运行容器来对其进行测试。

$ kubectl run --image=my-root-container

pod安全策略将禁止其运行,并给出错误消息:

$ kubectl get pods
NAME         READY    STATUS     
my-root-pod  0/1      container has runAsNonRoot and image will run as root

 

结论

在这篇文章中,我强调了默认设置下,使用root用户运行Docker容器有着固有风险。我还提出了多种方法来克服这种风险。

  • 如果你正在运行自定义镜像,请创建一个新的非root用户并在Dockerfile中指定它。
  • 如果使用的是第三方镜像,则可以在容器或容器级别设置安全上下文。
  • 还有一种方法是创建一个Pod安全策略,该策略将不允许任何容器以root特权运行。

 

原文链接:https://dzone.com/articles/docker-without-root-privileges



Tags:Docker容器   点击:()  评论:()
声明:本站部分内容及图片来自互联网,转载是出于传递更多信息之目的,内容观点仅代表作者本人,如有任何标注错误或版权侵犯请与我们联系(Email:2595517585@qq.com),我们将及时更正、删除,谢谢。
▌相关推荐
一、前因闲来没事,想着升级下树莓派中的应用,没曾想,全是最新的,害我以为被黑客眷顾,帮我升级了。多方查证,才知道,是上次搭建的photoprism搞的鬼,不过也不全是它的锅,只是它的yml文...【详细内容】
2021-12-28  Tags: Docker容器  点击:(2)  评论:(0)  加入收藏
对于初学者来说,刚刚接触docker会有点迷,特别是镜像与容器。其实我们可以理解镜像与容器为一对多的关系。下图错误的示范,为什么是错误的呢?因为可以通过一个镜像确实可以启动...【详细内容】
2021-06-09  Tags: Docker容器  点击:(136)  评论:(0)  加入收藏
Photo by William Warby on Unsplash您是否曾经想过为什么您的单应用程序Docker容器会增长到400 MB? 或者,也许为什么一个只有几十MB的应用程序二进制文件会生成一个MB的Docke...【详细内容】
2021-04-02  Tags: Docker容器  点击:(233)  评论:(0)  加入收藏
虚拟技术和云飞速发展的今天,云和容器已经深入人心,每个IT人都或多或少的使用容器和云。但是用归用,很多人对其底层的原理确实知之甚少。很多人想把容器当成虚拟机来用,却遭遇大...【详细内容】
2021-03-10  Tags: Docker容器  点击:(230)  评论:(0)  加入收藏
前言我之前发过几篇文章,比如搭建Zabbix监控系统、搭建ELK日志分析平台等,那有不少网友就给我留言了,说不用这么麻烦,用Docker部署就可以了,分分钟就搞定的事情。Docker真的有这...【详细内容】
2021-01-12  Tags: Docker容器  点击:(158)  评论:(0)  加入收藏
现在的项目部署运维中,使用Docker容器越来越多,Docker给我们提供创建容器的方式也有好几种,主要是docker run命令、Dockerfile文件、docker-compose三种方式,一个比一个方便。我...【详细内容】
2020-11-20  Tags: Docker容器  点击:(113)  评论:(0)  加入收藏
你是否还在大量控制台窗口中监控容器,还是对使用终端命令充满热情?而使用Docker的图形用户界面(GUI)工具,则可以更简单的对容器进行管理,并提高效率。而且它们都是免费的。Portain...【详细内容】
2020-11-16  Tags: Docker容器  点击:(114)  评论:(0)  加入收藏
本篇文章我们将讲解跨主机网络的容器通信实现,涉及到Docker overlay网络与MacVlan网络的解决方案,下面我们就一起来学习吧!01 Docker跨主机网络通信跨主机的容器网络方案主要有...【详细内容】
2020-10-26  Tags: Docker容器  点击:(92)  评论:(0)  加入收藏
接着文章「系统架构」如何使用Dockerfile制作Docker容器?(1)我们继续介绍ENV、ARG、VOLUME、EXPOSE、WORKDIR、USER、HEALTHCHECK、ONBUILD几个命令。7、ENV这个指令很简单,就...【详细内容】
2020-08-16  Tags: Docker容器  点击:(77)  评论:(0)  加入收藏
Docker让开发者可以打包应用程序及依赖包到可移植的镜像中,然后发布到任何流行的Linux或Windows机器上,也可以实现虚拟化。许多开发者关心如何在Docker容器中实现软件加密及授...【详细内容】
2020-08-07  Tags: Docker容器  点击:(98)  评论:(0)  加入收藏
▌简易百科推荐
一、前因闲来没事,想着升级下树莓派中的应用,没曾想,全是最新的,害我以为被黑客眷顾,帮我升级了。多方查证,才知道,是上次搭建的photoprism搞的鬼,不过也不全是它的锅,只是它的yml文...【详细内容】
2021-12-28  闲余悟道    Tags:Docker   点击:(2)  评论:(0)  加入收藏
一、为什么要搭建主从架构呢1.数据安全,可以进行数据的备份。2.读写分离,大部分的业务系统来说都是读数据多,写数据少,当访问压力过大时,可以把读请求给到从服务器。从而缓解数据...【详细内容】
2021-12-15  实战Java    Tags:Docker   点击:(12)  评论:(0)  加入收藏
在网页中渲染公式一直是泛学术工具绕不开的一个功能,最近更新产品功能,正巧遇到了这个需求,于是使用容器方式简单实现了一个相对靠谱的公式渲染服务。分享出来,希望能够帮到有类...【详细内容】
2021-12-01  编程菌zfn    Tags:Docker   点击:(11)  评论:(0)  加入收藏
1.1 docker命令直接部署1.1.1 拉取镜像docker pull wurstmeister/zookeeperdocker pull wurstmeister/kafka1.1.2 启动zookeeper容器docker run -d --name myzookeeper -p 2...【详细内容】
2021-11-15  无    Tags:docker   点击:(48)  评论:(0)  加入收藏
01 前言 顺着docker的发展,很多测试的同学也已经在测试工作上使用docker作为环境基础去进行一些自动化测试,这篇文章主要讲述我们在docker中使用浏览器进行自动化测试如果可以...【详细内容】
2021-10-29  小码哥聊软件测试    Tags:Docker   点击:(42)  评论:(0)  加入收藏
因为你懂得的原因,下载docker镜像速度非常喜感,故收集几个国内常用的docker镜像。Docker中国区官方镜像地址:https://registry.docker-cn.com网易163的镜像http://hub-mirror.c...【详细内容】
2021-10-28  抓蛙程序猿    Tags:docker   点击:(48)  评论:(0)  加入收藏
环境:Spring5.3.10通常,应用程序开发人员不需要对ApplicationContext实现类进行子类化。相反,SpringIOC容器可以通过插入特殊集成接口的实现来扩展。使用BeanPostProcessor自定...【详细内容】
2021-10-26  Java网络研发架构师    Tags:Spring   点击:(34)  评论:(0)  加入收藏
我们在很多场景下都需要做笔记,来对抗遗忘,一份好的笔记不仅能在需要的时候供我们查阅,也能帮助我们归纳整理知识提高做事效率。 目前市面上有很多云笔记软件,体验上各有不同,但...【详细内容】
2021-10-11  运维贼船    Tags:docker   点击:(62)  评论:(0)  加入收藏
1. Nacos官网Nacos Docker 快速开始2. Clone 项目git clone https://github.com/nacos-group/nacos-docker.git3. cd 到nacos-docker 路径下 直接启动即可cd nacos-dockerdo...【详细内容】
2021-09-16  程序狗爱化妆    Tags:Nacos   点击:(109)  评论:(0)  加入收藏
今天不做保姆级教程,分享奶爸常用、好用的Docker应用。有了这些Docker,Nas的可玩性会大幅提高,有时候奶爸也在想,刨去官方套件不考虑的话,Nas真的是差不多。如果小伙伴们有需要,后...【详细内容】
2021-09-03  晋升奶爸的垃圾佬    Tags:Docker   点击:(168)  评论:(0)  加入收藏
最新更新
栏目热门
栏目头条