Docker 和 Kubernetes:root 与特权

最新推荐文章于 2024-05-30 07:37:37 发布
最新推荐文章于 2024-05-30 07:37:37 发布
阅读量640 收藏
点赞数
文章标签: docker linux kubernetes 编程语言 ubuntu

作者 | Bryant Hagadorn

来源 | K8sMeetup社区

头图 | 下载于视觉中国

很多熟悉 Unix 系统的人(例如 macOS、Linux)都习惯于通过使用 sudo 随意提升我们的特权给 root 用户。在调试开发工具或尝试编辑受保护目录中的文件时,经常会发生这种情况,许多人在第一次尝试之后,执行命令不成功,都会默认使用 sudo

了解 Docker 安全性的基础是了解实际的容器

Docker 提供了一个类似 --privileged flag,实际上这与我们随意使用的 sudo 有很大不同,它可能会使应用程序面临不必要的风险。本文将展示这与 root 运行方式有何不同(以及如何避免以 root 用户身份运行),并介绍特权(privileged)的实际含义。

作为 root 运行

Docker 允许其在主机操作系统上隔离进程、功能和文件系统,并且实际上,大多数容器默认以 root 身份运行。为了示例,本文将使用 DockerHub 上的三个最受欢迎镜像。

Postgres:

$ docker run -it postgres 
#whoami 
root 
#id -u 
0

Couchbase:

$ docker run -it couchbase sh 
#whoami 
root 
#id -u 
0

Alpine:

$ docker run -it alpine sh 
#whoami 
root 
#id -u 
0

我们可以看到,默认情况下,大多数镜像都以 root 用户身份运行。通常这可以简化调试过程,尤其是在我们要 exec 到容器时。尽管 root 用户的 Linux 功能非常有限,但最好还是避免以 root 用户身份运行。

避免以 root 身份运行

尽管在容器内部以 root 身份运行是非常正常的事,但是如果我们想要强化容器,仍然需要避免这种情况。首先,违反了最小特权原则,其次,更严格地说,容器将成为运行 Docker 命令的同一用户命名空间的一部分,并且如果容器能够转义,它将可以访问 volume、socket 等资源。

有两种避免以 root 用户身份运行的方法。

通过调整 Dockerfile 以使用特定用户:

// Dockerfile 

FROM microsoft/windowsservercore
# Create Windows user in the container
RUN net user /add patrick
# Set it for subsequent commands
USER patrick

在运行时重写 User ID:

$ docker run -it --user 4000 postgres sh
# whoami
whoami: cannot find name for user ID 4000
# id -u
4000

关于特权

--privileged flag 将我们之前看到的用户 ID 直接映射到主机的用户 ID,并使其不受限制地访问其选择的任何系统调用。即使 root 在容器内部,在正常操作中,Docker 也会限制容器的 Linux 功能,例如限制 CAP_AUDIT_WRITE,它允许覆盖内核的审计日志,这是容器化工作负载不太需要的功能。

实际上,特权应该只在我们真正需要的特定设置中使用,它可以使容器访问主机(作为 root)几乎可以执行所有操作。从本质上讲,这是一个通行证,可以逃避容器包含的文件系统、进程、套接字和其他包含的项目。它有特定的用例,例如 Docker-in-Docker,其他 CI/CD 工具要求(从 Docker 容器内部需要 Docker 守护程序)以及需要极端网络的地方。

下面看一个使用 Ubuntu 镜像的示例(在 VM 内测试,这样就不会破坏任何东西):

没有特权:

# whoami
root # Notice here, we are still root!
# id -u
0
# hostname
382f1c400bd
# sysctl kernel.hostname=Attacker
sysctl: setting key "kernel.hostname": Read-only file system  # Yet we can't do this

有特权:

$ docker run -it --privileged ubuntu sh
# whoami
root. # Root again
# id -u
0
# hostname
86c62e9bba5e
# sysctl kernel.hostname=Attacker
kernel.hostname = Attacker # Except now we are privileged
# hostname
Attacker 

Kubernetes 通过安全上下文提供相同的功能:

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true

此外,Kubernetes 有一个称为 PodSecurityPolicy 的强制机制,它是一个准入控制器(Kubernetes 在允许容器进入集群之前会对其进行检查),这里强烈建议不允许使用特权 Pod:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: example
spec:
  privileged: false  # Don't allow privileged pods!

总结

到此为止,我们了解了一些有关 root 和 --privileged flag 的信息,以及它们与“主机”操作系统的关系。无论我们是否想限制容器的安全性或调试问题,都需要确保应用程序安全。防御安全性需要深度防御(像洋葱一层一层的保护)并减少攻击面,通过不以 root 身份运行,不以特权身份运行以及添加 SecurityContext 和 PodSecurityPolicies 是实现更高容器安全性的四个主要方面。

原文链接:https://itnext.io/docker-and-kubernetes-root-vs-privileged-9d2a37453dec

60+专家,13个技术领域,CSDN 《IT 人才成长路线图》重磅来袭!

直接扫码或微信搜索「CSDN」公众号,后台回复关键词「路线图」,即可获取完整路线图!

更多精彩推荐

☞5G、射频、奥特曼,这仨有联系吗?☞再见 Nacos,我要玩 Service Mesh 了!☞急!CPU 被挖矿,该怎么找进程?
点分享点收藏点点赞点在看
csdn业界要闻
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
DockerKubernetes:容器编排与管理.rar
07-05
DockerKubernetes结合 容器编排的必要性 使用Kubernetes编排Docker容器 实战案例 部署简单的Web应用 使用Kubernetes实现蓝绿部署 高级特性与优化 Docker网络与存储 Kubernetes服务与Ingress 性能优化与资源管理 ...
Docker-Kubernetes:DockerKubernetes的基础
05-08
使用Docker进行容器化的基础知识以及使用Kubernetes进行编排的基础知识 合作方式: 将存储库分叉到您自己的GitHub帐户。 将存储库克隆到本地计算机 $ git clone ...
root账号进入docker容器
我的博客
07-19 1604
Docker Compose 的配置文件 docker-compose.yml 中,privileged 选项可以设置为 true 来启用容器的特权模式。特权模式下的容器可以获得很多本地主机的特权,例如访问主机的硬件设备、更改网络配置等。这些操作在普通模式下的容器中是不允许的。Docker Compose 的配置文件中启用特权模式。第二种 创建容器实例的时候,增加参数。第一种、进入容器的命令改为。docker增加参数。
关于k8s中工作节点无法执行kubectl命令的解决办法
weixin_66574826的博客
08-17 1764
我想在node02执行kubectl命令但是报了The connection to the server localhost:8080 was refused - did you specify the right host or port?经过排查,发现是node02节点没有权限,那我就赋予node02权限。首先在master执行以下命令。填yes,注意是yes,不是y。接下来在node02节点操作。输入node02的密码即可。接下来传输第二个文件。...
K8s- 运行Pod时的root用户和非root用户的安全相关配置
最新发布
dzqxwzoe的博客
05-30 1103
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
docker exec -it_DockerKubernetes 中的 root 与 privileged
weixin_39689622的博客
11-28 747
我们大多数熟悉 Unix 类系统的人,都习惯于通过使用 sudo 来随意提升自己的权限,成为 root 用户。我们在使用 Docker 容器的过程中知道,他提供了一个 --privileged 的参数,其实它与随意使用 sudo 有很大的不同,它可能会让你的应用程序面临不必要的风险,下面我们将向你展示这与以 root 身份运行的区别,以及特权的实际含义。作为 Root 运行Docker ...
安装k8s,使用root帐号的初始化脚本
weixin_30920091的博客
05-21 624
现在稳定性差不多了。可以总结一下了。 真正使用时,有几个地方,还是确认一下,再正式运行吧。 #!/bin/bash # Version V0.09 2019-05-10-10:32 if [ `whoami` != "root" ];then echo "[error] You need to switch to root user to execute this comma...
如何通过终端快速访问 Kubernetes 节点 Shell 的 Root 环境 (无需 SSH 权限 )
easylife206的专栏
10-08 906
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !概述假设这样一个场景:生产环境中,Node 都需要通过堡垒机登录,但是 kubectl 是可以直接在个人电脑上登录的。这种场景下,我想要通过 kubectl 登录到 K8S 集群里的 Node,可以实现吗?可以的!本质上是利用容器(runC)的弱隔离(共享内核,Cgruop 等实现进程隔离)实现的权限逃逸。如果贵司使...
docker-kubernetes:[STEPHEN GRIDER]的完整指南DOCKERKUBERNETES
05-13
[STEPHEN GRIDER]的完整指南DOCKERKUBERNETES Stephen的本课程讲授如何创建任何Web应用程序并将其部署到Web服务中。 什么是DockerDocker是围绕创建和运行容器的平台或生态系统 为什么要使用DockerDocker...
docker-kubernetes:最新的 Kubernetes 构建
06-27
什么: 基于镜像,它在启动时从头开始构建 ,并将二... docker run --rm -v /opt/kubernetes:/target digitalwonderland/kubernetes 要构建特定分支,只需将其名称作为参数传递。 如果没有通过, master分支将被构建。
docker_kubernetes:这是为dockerkubernetes构建的项目
03-11
docker_kubernetes 这是为dockerkubernetes构建的项目
docker下配置ssh
mengxia45的博客
07-24 244
配置ssh的目的是为了方便连接,也有一些文章里提到了docker里ssh不好,不过我觉得还挺方便,而且让大部分人使用ssh连接的方式而非先登录宿主机在进入docker,相当于是通过权限管理提高了安全性,不然一旦有个人误操作,可能所有人的环境和临时成果都要收到波及。 之前写过一篇在docker里配置jupyter lab,大家可以现配ssh再配jupyter。 之所以选择自己写,也是因为网上虽然...
Docker容器学习梳理--SSH方式登陆容器
Ryan Z 的技术日志
05-07 490
前面几篇已经介绍了Docker基础环境的部署,下面介绍下通过ssh方式登陆Docker容器的操作记录 1 2 3 4 5 6 7 8 9 10 11 12 13 14 15 16 17 18 19 20 21 22 23 24 25 26 27 28 29 30 31 32 33 34 35 36
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
热门推荐
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod时,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户和用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过
在k8s集群中以root用户进入容器
weixin_35750483的博客
02-15 1860
Kubernetes集群中,建议不要使用root用户运行容器,因为这可能会导致安全问题。但是,如果您真的需要以root用户身份进入容器,可以使用以下步骤: 找到要进入的容器的名称或ID。可以使用以下命令列出所有运行中的容器: kubectlget pods ...
Kubernetesroot用户运行pod
hqing159的博客
11-06 9931
Kubernetesroot用户运行pod 首先找到你需要进入对应namespace的pod名 kubectl get pod 找到pod所在的节点以及容器id kubectl describe pod “pod名” 在所给信息中找到以下字段: Node:所查pod所在的节点 Container ID:所查pod的容器id,形如docker://...,注意Container ID 不包括docker:// ssh到pod对应节点 以root用户权限进入pod docker e
root切换普通用户执行kubectl exec 执行pod命令
完颜振江
05-17 1655
Bash命令大体可以分为两类: 第一类是可执行文件,例如ls等 第二类是Bash内建命令exec命令同样类似于docker的exec命令,为在一个已经运行的容器中执行一条shell命令,如果一个pod容器中,有多个容器,需要使用-c选项指定容器。执行Pod的data命令,默认是用Pod中的第一个容器执行。
root用户管理k8s和docker容器
因上努力,果上随缘。但行好事,莫问前程。
06-02 2201
1.2 修改集群配置 OPS机器关联kubectl进行如下操作:root用户执行: ops用户执行: 1.3 验证 二、非root用户管理docker 由于docker软件安装好之后,自动会创建好docker用户组,所以这里只需要创建好管理docer容器的用户就好。 首先来看一下正常的普通用户管理docker是什么样的切换dev用户执行docker命令,报错如下: 现在我们把ops用户加入docker用户组中 接下来切换ops用户来查看一下效果:
在k8s的pod中操作文件权限不够怎么办
weixin_42605397的博客
02-15 1653
如果您在 Kubernetes(k8s)Pod 中的操作权限不足,您可以尝试以下解决方法: 使用 kubectl exec 命令以 root 用户身份进入 Pod 中,例如: kubectl exec -it <pod-name> -- /bin/bash ...
DockerKubernetes:微服务基石与比较
Docker-Kubernetes简介是一种用于构建、部署和管理现代微服务架构的关键技术组合。本文档首先从微服务的概念出发,阐述了微服务架构的发展背景,特别是从传统单体应用架构(如模块化设计和SOA架构)向微服务架构的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值