我們?yōu)槭裁床辉试S非root用戶在CentOS直接運(yùn)行Docker命令
容器技術(shù)***的弱點(diǎn)是安全性不足,Docker也不例外。因此,如何加強(qiáng)Docker的安全性是每一個(gè)Docker用戶必須慎重考慮的問(wèn)題。這篇文章介紹了不用sudo而直接運(yùn)行Docker命令所存在的安全漏洞,并強(qiáng)烈建議通過(guò)設(shè)置sudo規(guī)則作為暫時(shí)的解決方法。
我經(jīng)常會(huì)收到用戶反饋的Bug,他們問(wèn)我們『為什么默認(rèn)情況下不能使用非root用戶直接運(yùn)行Docker命令』。
Docker能夠?qū)?run/docker.socket的文件訪問(wèn)權(quán)限設(shè)為660,并將其所屬的用戶組設(shè)為docker。 這使得非root用戶只要加入docker用戶組,就無(wú)需使用sudo,或者通過(guò)su命令切換到root用戶的情況下運(yùn)行Docker命令。這聽起來(lái)很不錯(cuò)。
- ls -l /var/run/docker.sock
- srw-rw----. 1 root docker 0 Aug 3 13:02 /var/run/docker.sock
但是,在RHEL、Fedora和CentOS上,我們更喜歡將doker.socket設(shè)置為:
- ls -l /var/run/docker.sock
- srw-rw----. 1 root root 0 Aug 3 13:02 /var/run/docker.sock
為什么呢?原因很簡(jiǎn)單:如果用戶可以與Docker Socket通信,他們就能夠執(zhí)行以下命令:
- docker run -ti --privileged -v /:/host fedora chroot /host
這時(shí)用戶將擁有主機(jī)的完全控制權(quán)。這就相當(dāng)于將sudoers文件修改為以下內(nèi)容(譯者注:dwalsh為用戶名):
- grep dwalsh /etc/sudoers
- dwalsh ALL=(ALL) NOPASSWD: ALL
這將允許(dwalsh)用戶無(wú)密碼運(yùn)行所有命令,獲得主機(jī)的完全控制權(quán)。但是這有一個(gè)很大的安全漏洞。Docker命令沒有內(nèi)置的審計(jì)和日志功能,但是sudo有。
Docker目前會(huì)記錄事件,但是Docker daemon重啟時(shí)事件會(huì)消失。Docker目前沒有審計(jì)功能。
從安全性的角度,紅帽已經(jīng)表達(dá)了允許非root用戶在沒有審計(jì)(auditing)和適當(dāng)?shù)娜罩镜那闆r下訪問(wèn)Docker Daemon的顧慮。我們已經(jīng)在PR14446實(shí)現(xiàn)了這些控制,它依靠了一個(gè)認(rèn)證機(jī)制,但這個(gè)機(jī)制還在討論中。在我們實(shí)現(xiàn)了審計(jì)和日志功能之前,我們推薦通過(guò)設(shè)置sudo規(guī)則來(lái)訪問(wèn)Docker Daemon。這將允許sudo來(lái)提供審計(jì)和日志功能。
設(shè)置sudo規(guī)則
如果你希望非root用戶能夠直接執(zhí)行Docker命令,我們推薦通過(guò)設(shè)置sudo規(guī)則來(lái)實(shí)現(xiàn)。下面是設(shè)置Docker規(guī)則的簡(jiǎn)單教程。
在/ect/sudoers中添加以下內(nèi)容: [譯者注:使用visudo命令修改]
- grep dwalsh /etc/sudoers
- dwalsh ALL=(ALL) NOPASSWD: /usr/bin/docker
這允許特定用戶無(wú)需密碼直接執(zhí)行Docker命令。
注意:我并不推薦使用NOPASSWD,這可能會(huì)導(dǎo)致你的系統(tǒng)中的任意進(jìn)程都能獲取root權(quán)限。如果你要求使用密碼,則用戶在運(yùn)行Docker命令時(shí)需要輸入密碼,這將使得系統(tǒng)稍微安全一點(diǎn)。如果執(zhí)行命令時(shí)輸入了一次密碼,則sudo將允許你在5分鐘內(nèi)再次運(yùn)行Docker命令時(shí)不再需要輸入密碼。
緊接著,為Docker命令設(shè)置別名。
- alias docker="sudo /usr/bin/docker"
現(xiàn)在,非root用戶將被允許直接執(zhí)行Docker命令(譯者注:不需要使用sudo),并且記錄了日志。
- docker run -ti --privileged -v /:/host fedora chroot /host
查看journal日志或者/var/log信息:
- journalctl -b | grep docker.*privileged
- Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]: dwalsh : TTY=pts/3
查看審計(jì)日志:
- ausearch -m USER_ROLE_CHANGE -i
- type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
- new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success'
#p#
更強(qiáng)的安全性
如果你打算只允許用戶訪問(wèn)一個(gè)特定的容器,你可以寫一個(gè)簡(jiǎn)單的腳本:
- cat /usr/bin/docker-fedora
- #!/bin/sh
- docker run -ti --rm fedora /bin/sh
寫好腳本之后,配置sudoers:
- grep dwalsh /etc/sudoers
- dwalsh ALL=(ALL) NOPASSWD: /usr/bin/docker-fedora
這個(gè)用戶將僅能在沒有權(quán)限限制下運(yùn)行Fedora容器。
認(rèn)證
我們還在開發(fā)其它程序補(bǔ)丁來(lái)增強(qiáng)Docker Daemon安全性,其中包括認(rèn)證方面。我們有一個(gè)正在討論的問(wèn)題#13697“為Docker增加kerberos支持”。
授權(quán)
我們還提議為Docker增加授權(quán)/RBAC(基于角色的訪問(wèn)控制),這樣管理員就可以控制哪些用戶可以使用哪些容器/鏡像進(jìn)行哪些活動(dòng)。如果你想查看這個(gè)提議或者評(píng)論或者提出建議,提議地址為:GitHub: rhatdan/docker-rbac。
結(jié)論
如果需要支持非root用戶直接運(yùn)行Docker命令之前,那Docker Daemon的安全性還需要很多改進(jìn)。但在這些改進(jìn)實(shí)現(xiàn)之前,設(shè)置sudo規(guī)則是***的選擇。我們正在開發(fā)更好的解決方案,暫時(shí)我們?nèi)匀粡?qiáng)烈推薦使用sudo。
