docker用户与主机用户的安全隔离和映射

最新推荐文章于 2024-04-13 16:33:37 发布
最新推荐文章于 2024-04-13 16:33:37 发布
阅读量2.3k 收藏
点赞数 1
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lsysafe/article/details/90437811
版权

1、系统环境:

root@system-virtual-machine:/home/system# uname -a
Linux system-virtual-machine 5.0.0-13-generic #14-Ubuntu SMP Mon Apr 15 14:59:14 UTC 2019 x86_64 x86_64 x86_64 GNU/Linux
root@system-virtual-machine:/home/system# docker --version
Docker version 18.09.5, build e8ff056

默认DOCKER容器的ROOT用户被映射为主机的ROOT用户

root@system-virtual-machine:/home/system# docker run -itd --name test01 -v /tmp:/tmp nginx /bin/bash 

9a7611e49dc739d6afd4dd9baae0c9fc14db00b8564322265b60e6e4496172a9

root@system-virtual-machine:/home/system# docker exec -it test01 /bin/bash

root@9a7611e49dc7:/# cd /tmp/

root@9a7611e49dc7:/tmp# echo "11" >> 1.txt
root@9a7611e49dc7:/tmp# exit
exit
root@system-virtual-machine:/home/system# ll /tmp/
总用量 84
drwxrwxrwt 19 root   root   4096 5月  21 20:00 ./
drwxr-xr-x 20 root   root   4096 5月  21 17:07 ../
-rw-r--r--  1 root   root      3 5月  21 20:00 1.txt

此时容器的ROOT用户即为操作系统ROOT用户,系统权限无限大

 

2、配置用户隔离,将容器的ROOT用户映射为操作系统的UID和GID大于100000的从属ID

修改/usr/lib/systemd/system/docker.service,添加对/etc/default/docker文件DOCKER_OPTS的引用

system@system-virtual-machine:~$ grep -v '^#' /usr/lib/systemd/system/docker.service 
[Unit]
Description=Docker Application Container Engine
Documentation=https://docs.docker.com
BindsTo=containerd.service
After=network-online.target firewalld.service containerd.service
Wants=network-online.target
Requires=docker.socket

[Service]
Type=notify
EnvironmentFile=-/etc/default/docker
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock $DOCKER_OPTS
ExecReload=/bin/kill -s HUP $MAINPID
TimeoutSec=0
RestartSec=2
Restart=always

StartLimitBurst=3

StartLimitInterval=60s

LimitNOFILE=infinity
LimitNPROC=infinity
LimitCORE=infinity

TasksMax=infinity

Delegate=yes

KillMode=process

[Install]
WantedBy=multi-user.target

 

编辑/etc/default/docker,添加:

DOCKER_OPTS="--userns-remap=default"

DOCKER_OPTS="--userns-remap=自定义的用户名"

此时会在/etc/subuid和/etc/subgid添加用户的映射ID

system@system-virtual-machine:~$ cat /etc/subuid /etc/subgid
system:100000:65536
dockremap:165536:65536
apps:231072:65536
system:100000:65536
dockremap:165536:65536
apps:231072:65536

如dockremap这一行表示,从操作系统UID为165536用户开始直到UID为165536+65536映射容器的UID0至65535,0为容器的ROOT用户,/etc/default/docker文件这一行DOCKER_OPTS="--userns-remap=default"指定了引用 /etc/subuid,/etc/subgid文件的哪个用户,用户组,default一般指dockremap

 

3、为容器的ROOT用户指定权限

root@system-virtual-machine:/home/system# mkdir -p /dockertest/dir1

root@system-virtual-machine:/home/system# cat /etc/default/docker 

DOCKER_OPTS="--userns-remap=apps"

root@system-virtual-machine:/home/system# cat /etc/subuid
system:100000:65536
dockremap:165536:65536
apps:231072:65536

root@system-virtual-machine:/home/system# docker run -itd --name test06 -v /dockertest/dir1:/tmp nginx
42697b7f491f32582cba785ab35e646816189ce5d4a295e52bb7231b5e8d1d75
root@system-virtual-machine:/home/system# docker exec -it test06 /bin/bash
root@42697b7f491f:/# cd /tmp/
root@42697b7f491f:/tmp# ls
root@42697b7f491f:/tmp# echo "test" > 1.txt
bash: 1.txt: Permission denied
root@42697b7f491f:/tmp# whoami
root

此时权限拒绝

为用户显式赋权限

root@system-virtual-machine:/home/system# chown -R 231072 /dockertest/dir1/
root@system-virtual-machine:/home/system# ll /dockertest/dir1/
总用量 8
drwxr-xr-x 2 231072 root 4096 5月  22 08:32 ./
drwxr-xr-x 3 root   root 4096 5月  22 08:32 ../
root@system-virtual-machine:/home/system# docker exec -it test06 /bin/bash 
root@42697b7f491f:/# cd /tmp/
root@42697b7f491f:/tmp# echo "test" > 1.txt
root@42697b7f491f:/tmp# exit

此时正常写入,文件的创建用户即为主机映射到容器ROOT的用户

system@system-virtual-machine:~$ ll /dockertest/dir1/1.txt 
-rw-r--r-- 1 231072 231072 5 5月  22 08:37 /dockertest/dir1/1.txt

 

 

 

 

lsysafe
关注
Docker容器用戶映射
renhuailin的专栏
12-30 8252
Docker image的製作者可能會指定一個默認用戶,這樣可能會導致無法向運行時掛載的卷內寫數據。本文提供了兩種方法來解決此問題。
用户添加到docker组【普通用户使用docker命令时可以不用sudo】
u013250861的博客
06-23 391
可再次查看docker用户组,可以看到当前用户已经成功添加到docker用户组中。执行完该命令之后,就可以在当前终端中,不适用sudo执行docker相关命令了。${USER}就可以帮我们获取到当前登录的用户。2. 添加当前用户加入docker用户组。3.更新docker组的信息。1.查看docker
体验了一下Docker的root用户映射
weixin_34130389的博客
06-24 2034
2019独角兽企业重金招聘Python工程师标准>>> ...
016-docker容器与宿主机的端口映射
xixiworld的博客
05-12 8914
从之前构建的镜像启动一个容器# -p 80:docker容器公开给宿主机的网络端口,此时Docker可以在宿主机上随机选择一个位于32768~61000之间的端口号来映射到容器的80端口上 # nginx -g "daemon off;":指定容器中需要执行的指令,这条指令的含义是以前台运行的方式启动nginx sudo docker run -d -p 80 --name static_web j
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 717
笔者在前文《理解 docker 容器中的 uid 和 gid》介绍了 docker 容器中的用户与宿主机用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
如何隔离docker容器中的用户的方法
09-30
Docker 容器环境中,确保用户隔离是至关重要的安全措施,因为这能防止容器内的进程对宿主机系统造成潜在的危害。Docker 默认情况下并不自动启用用户隔离,而是依赖于 Linux 的 User Namespace 技术来实现这种隔离...
Docker容器访问宿主机网络的方法
09-30
Docker容器和宿主机之间进行网络通信...如果需要更强的隔离性和安全性,可以考虑使用第一种方法,并合理配置端口映射。如果希望简化网络配置并提升通用性,则可以采用第二种方法,但需要注意可能带来的网络安全问题。
Docker容器的网络管理和网络隔离的实现
09-29
Docker的世界里,网络管理和网络隔离是两个关键的概念,它们确保了容器的高效运行和安全隔离。本文将深入探讨这两个主题,同时提供实践中的配置示例。 首先,我们来看Docker容器的网络管理。Docker提供了多种网络...
Docker容器端口映射:宿主机的桥梁
最新发布
08-28
2. **可移植性**:由于容器与底层基础设施无关,因此可以在任何安装了Docker主机上运行。 3. **自动化部署**:Docker可以通过Dockerfile自动化构建容器镜像,简化部署流程。 4. **版本控制和组件重用**:Docker ...
Docker:宿主机与容器之间的数据交换
今夜不设防,让我们猎个痛快!
07-04 1248
容器可以看作是一个被逻辑隔离的空间,如何让应用在“足不出户”的情况下,也能与大千时间进行数据交换、创造另一个能运行的应用生态环境。
docker和宿主机的关系
jkzyx123的博客
04-13 783
综上所述,Docker 容器与宿主机之间有着紧密的关系。Docker 利用了宿主机的内核和资源,提供了隔离用户空间,实现了在同一宿主机上同时运行多个容器,同时保持了较低的性能开销。安全性、资源分配和网络配置等问题,都需要管理员在宿主机层面上进行妥当管理。
如何使用dockerfile添加用户
JineD的博客
10-12 6518
使用useradd而非交互adduser来添加用户。 RUN useradd -ms /bin/bash vault 以下命令不会创建user。 USER vault WORKDIR /usr/local/bin/vault 参考: 如何使用dockerfile添加用户Docker 创建docker用户组,应用用户加入docker组_point0mine的博客-CSDN博客_docker group Linux下创建用户用户组_左撇子帕布-CSDN博客_linux 创建用户和用.
Linux企业运维——Docker(七)安全
weixin_44310047的博客
08-02 506
Linux企业运维——Docker(七)安全 文章目录Linux企业运维——Docker(七)安全1、理解Docker安全2、容器资源控制2.1、控制memory 1、理解Docker安全 Docker容器的安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: Linux内核的命名空间机制提供的容器隔离安全 Linux控制组机制对容器资源的控制能力安全 Linux内核的能力机制所带来的操作权限安全 Docker程序(特别是服务端)本身的抗攻击性 其他安全增强机制对
Docker使用root用户进入容器
LuckyTHP
01-08 3878
Docker使用root用户进入容器
docker的一些使用记录
Eric_Evil的博客
03-09 5697
1 关于docker用户组 如需要查看“docker”分组下的所有用户,可以使用命令如下: grep 'docker' /etc/group 创建用户组(一般安装docker已经创建,无需再管): sudo groupadd docker 将某用户添加到用户组: sudo usermod -aG docker ${USER} 重启docker服务: sudo systemctl...
Docker中使用userns-remap做用户命名空间
zyy247796143的博客
03-05 4572
使用普通用户启动Docker服务(基础) 使用普通用户运行docker容器 在docker中,在容器内创建的文件在从主机检查时往往具有不可预测的所有权。默认情况下,卷上文件的所有者是root(uid 0),但只要非root用户帐户涉及容器并写入文件系统,所有者就会从主机角度变得或多或少随机 。 您需要使用调用docker命令的同一用户帐户从主机访问卷数据时,这是一个问题. 典型的解决方法是 在Dockerfiles中创建时强制用户uID(非可移植) 将主机用户的UID作为环境变量传递给docker run命
Docker 入门之 docker-compose
蔡定努
11-21 3226
Compose 允许用户通过一个 docker-compose.yml 模板文件(YAML 格式)来定义一组相关联的应用容器为一个项目(project)。Compose 模板文件是一个定义服务、网络和卷的 YAML 文件。Compose 模板文件默认路径是当前目录下的 docker-compose.yml,可以使用. yml 或. yaml 作为文件扩展名。
docker创建ubuntu16.04容器(下)
qq_27245699的博客
10-23 535
本机显卡驱动 cuda10.0+cuddn7.6都已经安装完毕,现想在容器内使用主机的硬件环境 Docker CE 19.03(已支持GPU,无需再安装Nvidia Docker),并配置用户Docker权限。 1 创建Docker用户组并配置用户Docker权限。 创不创都可以看自己的需要;省略 2.拉取nvidia/cuda:10.0-cudnn7-devel-ubuntu16.04镜像,其他支持cuda的镜像可以在这里找到。 https://hub.docker.com/r/nvidia/c
Docker容器安全实践:启用用户命名空间增强主机保护
"启用用户命名空间是Docker容器安全配置中的一个重要环节,旨在提供额外的安全层,隔离容器内的用户主机系统的用户权限。在Docker守护程序中启用用户命名空间支持,可以对用户进行重新映射,使得容器内的root用户...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值