默认情况下,Docker容器内的进程以root用户权限运行,与宿主机root相同,可能带来安全隐患。文章介绍了uid和gid的概念,强调了容器与宿主机共享内核的uid/gid系统,意味着容器内的root即是宿主机的root。通过Dockerfile的USER命令或docker run的--user参数可以指定非root用户运行进程,从而提高安全性。同时,容器内用户与宿主机对应uid的权限一致,展示了通过数据卷验证这一事实的例子。最后,提到了Linux的user namespace技术用于进一步隔离用户权限。
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)和组 id(gid)如何在容器内的进程和主机系统之间映射,这对于系统的安全来说是非常重要的。
说明:本文的演示环境为 ubuntu 16.04 (下图来自互联网)。
先来了解下 uid 和 gid
uid 和 gid 由 Linux 内核负责管理,并通过内核级别的系统调用来决定是否应该为某个请求授予特权。比如当进程试图写入文件时,内核会检查创建进程的 uid 和 gid,以确定它是否有足够的权限修改文件。注意,内核使用的是 uid 和 gid,而不是用户名和组名。简单起见,本文中剩下的部分只拿 uid 进行举例,系统对待 gid 的方式和 uid 基本相同。
很多同学简单地把 docker 容器理解为轻量的虚拟机,虽然这简化了理解容器技术的难度但是也容易带来很多的误解。事实上,与虚拟机技术不同:同一主机上运行的所有容器共享同一个内核(主机的内核)。容器化带来的巨大价值在于所有这些独立的容器(其实是进程)可以共享一个内核。这意味着即使由成百上千的容器运行在 docker 宿主机上,但内核控制的 uid 和gid 则仍然只有一套。所以同一个 uid 在宿主机和容器中代表的是同一个用户(即便在不同的地方显示了不同的用户名)。注意,由于普通的用来显示用户名的 Linux 工具并不属于内核(比如 id 等命令),所以我们可能会看到同一个 uid 在不同的容器中显示为不同的用户名。但是对于相同的 uid 不能有不同的特权,即使在不同的容器中也是如此。
如果你已经了解了 Linux 的 user namespace 技术,参考《Linux Namespace :User》,你需要注意的是到目前为止,docker 默认并没有启用 user namesapce,这也是本文讨论的情况。笔者会在接下来的文章中介绍如何配置 docker 启用 user namespace。
容器中默认使用 root 用户
如果不做相关的设置,容器中的进程默认以 root 用户权限启动ÿ
最低0.47元/天 解锁文章
1759
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
