进入容器根目录_只是对根说不(在容器中)

最新推荐文章于 2024-05-02 01:42:38 发布
最新推荐文章于 2024-05-02 01:42:38 发布
阅读量856 收藏
点赞数
文章标签: 内核 linux docker java 运维
原文链接:https://opensource.com/article/18/3/just-say-no-root-containers
版权
本文探讨了为何大多数容器映像需要root用户,包括修改主机系统、绑定低端口和安装软件的需求。然而,大部分应用并不需要以root权限运行。文中建议使用端口转发、分离构建和运行时权限以及推动软件包管理系统支持非root安装,以提高容器安全性。底线是,大多数软件在容器中不应以root身份运行。
摘要由CSDN通过智能技术生成

进入容器根目录

我一直被问到用于控制系统上的容器进程可以执行的不同安全措施。 我在Opensource.com上的先前文章中介绍了其中的大多数内容:

以上几乎所有文章都是关于控制系统上的特权进程可以在容器中执行的操作。 例如:如何在容器中运行root而不让它爆发?

OpenShift是Red Hat的容器平台,建立在Kubernetes ,Red Hat Enterprise Linux和OCI容器的基础上,它具有强大的安全性功能:默认情况下,不允许任何容器以root身份运行。 管理员可以覆盖此设置,否则所有用户容器都无需root就可以运行。 这在多租户OpenShift Kubernetes集群中尤其重要,在该集群中,一个集群可能为多个应用程序和多个开发团队提供服务。 管理员为每个集群运行单独的集群并不总是可行甚至是不明智的。 遗憾的是,有关OpenShift的最大抱怨之一是用户无法轻松运行docker.io上所有可用的社区容器映像。 这是因为当今世界上绝大多数的容器映像都需要根目录。

为什么所有这些映像都需要root用户?

如果您实际上检查了成为根源的原因,那么在系统上,它们是非常有限的。

修改主机系统:

  • 成为系统根用户的一个主要原因是更改系统的默认设置,例如修改内核的配置。
  • 在Fedora,CentOS和Red Hat Enterprise Linux中,我们有系统容器的概念,它们是特权容器,可以使用atomic命令安装在系统上。 它们可以完全特权运行,并且可以修改系统和内核。 对于系统容器,我们将容器映像用作内容交付系统,而不是真正寻找容器分离。 与大多数容器运行的用户应用程序服务相反,系统容器更多地用于核心操作系统主机服务。
  • 在应用程序容器中,我们几乎从不希望容器内的进程修改内核。 默认情况下绝对不需要。

Unix / Linux传统:

  • 操作系统软件供应商和开发人员长期以来一直以root用户身份运行进程是众所周知的,因此内核添加了许多Linux功能,以允许进程以root用户身份启动,然后尽快放弃特权。 大多数UID / GID功能允许Web服务之类的进程以root用户身份启动,然后成为非root用户身份。 这样做是为了绑定到低于1024的端口(稍后会对此进行更多介绍)。
  • 容器运行时可以以非root用户身份启动应用程序。 真相是众所周知的,systemd也是如此,但是在过去20年中构建的大多数软件都假定它以root特权和放弃特权开始。

绑定到<1024的端口

  • 追溯到1960年代和1970年代,当时计算机很少,无特权用户无法绑定到<1024的网络端口被认为是一种安全功能。 因为只有管理员才能执行此操作,所以您可以信任在这些端口上侦听的应用程序。 端口> 1024可以被系统上的任何用户绑定,因此它们不能被信任。 这样做的安全性优势已基本消失,但我们仍然可以承受此限制。
  • 这种限制的最大问题是人们喜欢让Web服务器在端口80上监听的Web服务。这意味着apache或nginx开始以root用户身份运行的主要原因是,它们可以绑定到端口80,然后变为非端口。根。
  • 使用端口转发的容器运行时可以解决此问题。 您可以设置一个容器以侦听任何网络端口,然后使容器运行时将该端口映射到主机上的端口80。

在此命令中, podman运行时将在您的计算机上运行apache_unpriv容器,侦听主机上的端口80,而该容器内的Apache进程从不root,以apache用户身份启动,并告诉其侦听端口8080。 


podman run -d -p 80:8080 -u apache apache_unpriv

或者: 


docker run -d -p 80:8080 -u apache apache_unpriv

将软件安装到容器映像中

  • 当Docker通过docker build引入构建容器时,容器中的内容只是用于分发的标准打包软件。 该软件通常通过rpm软件包或Debian软件包来提供。 好了,分发软件包将由root安装。 软件包希望能够通过添加用户来完成诸如操作/etc/passwd文件之类的操作,并希望将具有不同UID / GID的内容放到文件系统中。 许多软件还期望通过init系统(systemd)启动,并以root身份启动,然后在启动后放弃特权。
  • 可悲的是,进入集装箱革命已经五年了,这仍然是现状。 几年前,我试图让httpd软件包知道非root用户何时安装它,并进行其他配置。 但是我为此丢下了球。 我们需要让打包程序和程序包管理系统开始了解它们之间的区别,然后我们可以使运行良好的容器而无需root用户。
  • 我们现在可以解决此问题的一件事是将构建系统与安装系统分开。 #nobigfatdaemons的问题之一是Docker守护程序导致以相同的privs运行容器以运行容器,而该privs则与构建容器映像相同。
  • 如果我们更改系统或使用其他工具(例如Buildah )来构建具有较宽松约束的容器,并使用CRI-O / Kubernetes / OpenShift来在生产环境中运行容器,那么我们可以使用提升的特权进行构建,但是随后可以在运行容器的同时使用很多特权严格的限制,或者希望成为非root用户。

底线

您在容器中运行的几乎所有软件都不需要root。 您的Web应用程序,数据库,负载均衡器,数字打交道,等等不需要以往以root身份运行做。 当我们使人们开始构建根本不需要根目录的容器映像,而其他人将其映像基于非特权容器映像作为基础时,我们将看到容器安全性的巨大飞跃。

围绕容器内部运行root仍然需要做很多事情。 没有教育,聪明的管理员可能会做出错误的决定。

翻译自: https://opensource.com/article/18/3/just-say-no-root-containers

进入容器根目录

cumj63710
关注
以root权限进入容器
ACJW_的博客
10-14 565
以root权限进入容器
容器镜像原理-根目录的替换
我活在当下,我巨他妈勇敢。
03-15 517
之前提到,容器的文件系统本质上是在镜像文件的基础上加上一个读写层文件夹构成的联合文件系统。而为了容器只能看到指定挂载目录内的范围,可将进程的文件系统节点目录指定为特定的挂载目录。由于进程寻找文件总是从其根目录节点开始的,所以改变了进程节点目录后,进程所能看见的文件视图便发生了变化。
docker 指定根目录 迁移根目录
OceanWaves1993的博客
05-02 2171
如果在生产环境上,运行docker程序签没有手动指定docker根目录,造成默认的docker根目录就是/var/lib/docker,并且环境已经运行一段时间发现根目录空间不够了,这种情况下仍然可以通过docke daemon的配置文件指定一个很大或者可以动态扩容的文件目录作为docker根目录,只不过要把之前docker根目录/var/lib/docker下哦数据迁移到新的docker根目录即可。默认启动docker后,默认的docker根目录是/var/lib/docker。以上确认均没问题,到此!
Docker修改默认根目录
小鹤哥的博客
03-13 2441
修改docker默认根目录的方法
打开云原生大门:了解Linux命名空间的奥秘和Docker容器隔离技术
Lion_Long的博客
12-06 3408
一、根目录RootFs概述。 二、Linux Namespace:进程命名空间、lsns 命令、查看元祖进程命名空间、查看当前用户进程命名空间。容器进程命名空间、查看容器进程命名空间列表、修改容器命名空间、容器进程命名空间的具体体现。 docker使用的隔离机制就是进程的隔离机制。 docker不是虚拟机,他就是一个进程,容器隔离使用的就是进程命名隔离机制。
overrun:在根目录上运行容器
05-22
根目录上运行容器。 概述 overrun的文件系统设置overlayfs并运行在它nspawn容器。 用法 # overrun [nspawn options] 例子 # overrun Spawning container lbA32APzCA on /tmp/tmp.lbA32APzCA/root. Press ^] ...
java项目根目录_获取java项目的根目录
weixin_33304375的博客
02-12 7371
一、 相对路径的获得明:相对路径(即不写明时候到底相对谁)均可通过以下方式获得(不论是一般的java项目还是web项目)1String relativelyPath=System.getProperty("user.dir");上述相对路径java项目的文件是相对于项目的根目录web项目的文件路径视不同的web服务器不同而不同(tomcat是相对于tomcat安装目录\bin)二 类加载...
java项目获取根目录_获取java项目的根目录
weixin_35480430的博客
02-20 6242
欢迎进入Java社区论坛,与200万技术人员互动交流 >>进入 第二种实现 首先写一个接听类 (推荐使用,容器启动时就执行,不会抛空指针异常,适合做定时器任务来删除服务器文件的路径) Java代码: package com.chinacreator.report.listener; import javax.servlet欢迎进入Java社区论坛,与200万技术人员互动交流 >...
如何通过服务器进入网站根目录,如何进入云服务器根目录
weixin_35900383的博客
08-10 1300
如何进入云服务器根目录 内容精选换一换本节操作适用于Linux操作系统云服务器/etc/passwd文件损坏导致云服务器无法登录的问题。本节操作为紧急恢复系统方法,需要在单用户模式下会将系统备份初始备份/etc/passwd-文件替换已损坏的/etc/passwd文件,该操作会造成自行添加的用户丢失(包括应用运行的用户,可以参考/etc/shadow文件添加其他账号)。本节操本节操作介绍Linux...
docker修改镜像容器的存放目录的方法
01-10
最近在学习docker的路上,今天遇到了个问题,在网上查找了一下资料,顺便留个笔记 在默认情况下,Docker镜像和容器的默认存放位置为: /var/lib/docker 一般下分区我们不会给太大。镜像和容器越存越多一般我们有两...
Docker学习:理论基础之Docker容器内部结构 | 容器在宿主机的默认存储位置
血煞长虹 的专栏
01-09 6627
镜像好比ISO文件,容器好比安装好的Windows操作系统,我们操作容器就像在操作一台独立的linux虚拟机一样,而ISO镜像安静的躺在某个角落里,想它的时候,docker images 命令把它拉出来查看一下。本文带你深入了解容器的构成,以及容器在宿主机的存储位置等,赶快来围观吧~...
Docker知识】重定向 Docker根目录
gongdiwudu的专栏
02-06 5500
Docker 将下载的镜像、正在运行的容器和持久卷数据存储在系统驱动器上的单个共享目录根目录。如果您期望在外存(磁盘)、或网络共享存储docker各种对象(比如将一个容器通过U盘拷走),就需要配置个性化存储空间(重定向数据路径)。
docker命令介绍,镜像制作,容器启动,进入容器操作等
qq_19891197的博客
11-24 2063
docker命令介绍,镜像制作,容器启动,进入容器操作等
获取java项目的根目录-方法大全
longtingjing的专栏
11-12 4万+
一、 相对路径的获得 明:相对路径(即不写明时候到底相对谁)均可通过以下方式获得(不论是一般的java项目还是web项目) ? 1 String relativelyPath=System.getProperty("user.dir"); 上述相对路径java项目的文件是相对于项目的根目录web项目的文件路径视不同
docker占满linux磁盘根目录的解决办法
weixin_30240349的博客
03-15 2181
一、磁盘根目录被占满 [test@localhost docker]$ df -lh Filesystem Size Used Avail Use% Mounted on /dev/mapper/centos-root 50G 50G 0G 100% / devtmpfs 7.7G 0 7.7G ...
Docker容器技术介绍(五) --- 目录、文件及数据
zhang197093的博客
11-01 2576
容器在运行的过程,难免会涉及到文件的读写,比如web服务器读取静态文件,记录访问日志和错误日志,设定网站根目录以及目录权限,还有多个容器之间共享数据等等。 Docker容器管理数据主要有两种方式: 数据卷(Data Volumes):容器内数据直接映射到宿主机 数据卷容器(Data Volume Containers):使用特定容器来管理数据 在使用docker run
获得容器的绝对路径
wittdong的博客
04-12 1328
String pathString = TbProRatingAction.class.getResource("/").getFile(); 这句话的意思就是获得容器的资源文件的路径: 打印结果是:D:/work/project/apache-tomcat-6.0.35/webapps/fund/WEB-INF/classes/
Docker常用命令记录
hkl_Forever的博客
06-25 4974
docker update --参数名称 参数值 容器名称:更新docker容器参数,如果docker容器已被创建,例如:docker update --restart no mynginx。docker logs -f -t --since='2022-07-18' --tail=100 xxx:实时查看指定时间后的日志,只显示最后100行。docker logs -t --since="2022-07-15" --until "2022-07-18" xxx:查看两个日期之间的日志。
docker进入启动容器查看内部目录结构
热门推荐
Quincy.Coder的博客
09-18 6万+
[root@localhost docker]# docker container ls -a CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS NAMES 806c175229ce ...
docker容器根目录
最新发布
05-10
这个根目录Docker镜像的一部分,每个容器都会从这个镜像创建自己的文件系统。在容器内部,你可以像在任何其他Linux系统上一样访问和管理文件。 需要注意的是,Docker容器根目录与宿主机的根目录是分离的。...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值