Podman:一个更安全的运行容器的方式

最新推荐文章于 2024-06-11 14:49:12 发布
最新推荐文章于 2024-06-11 14:49:12 发布
阅读量450 收藏
点赞数
原文链接:http://www.51testing.com/html/16/n-4462116.html
版权

作者:Daniel J Walsh

Podman 使用传统的 fork/exec 模型(相对于客户端/服务器模型)来运行容器。
  在进入本文的主要主题 Podman 和容器之前,我需要了解一点 Linux 审计功能的技术。
  什么是审计?
  Linux 内核有一个有趣的安全功能,叫做审计。它允许管理员在系统上监视安全事件,并将它们记录到audit.log 中,该文件可以本地存储或远程存储在另一台机器上,以防止黑客试图掩盖他的踪迹。
  /etc/shadow 文件是一个经常要监控的安全文件,因为向其添加记录可能允许攻击者获得对系统的访问权限。管理员想知道是否有任何进程修改了该文件,你可以通过执行以下命令来执行此操作:

 # auditctl -w /etc/shadow

现在让我们看看当我修改了 /etc/shadow 文件会发生什么:

  # touch /etc/shadow
  # ausearch -f /etc/shadow -i -ts recent
  type=PROCTITLE msg=audit(10/10/2018 09:46:03.042:4108) : proctitle=touch /etc/shadow type=SYSCALL msg=audit(10/10/2018 09:46:03.042:4108) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7ffdb17f6704 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=2712 pid=3727 auid=dwalsh uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=pts1 ses=3 comm=touch exe=/usr/bin/touch subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 key=(null)`

审计记录中有很多信息,但我重点注意到它记录了 root 修改了 /etc/shadow 文件,并且该进程的审计 UID(auid)的所有者是 dwalsh。
  内核修改了这个文件了么?
  跟踪登录 UID
  登录 UID(loginuid),存储在 /proc/self/loginuid 中,它是系统上每个进程的 proc 结构的一部分。该字段只能设置一次;设置后,内核将不允许任何进程重置它。
  当我登录系统时,登录程序会为我的登录过程设置 loginuid 字段。
  我(dwalsh)的 UID 是 3267。

$ cat /proc/self/loginuid
  3267

现在,即使我变成了 root,我的登录 UID 仍将保持不变。

 $ sudo cat /proc/self/loginuid
  3267

请注意,从初始登录过程 fork 并 exec 的每个进程都会自动继承 loginuid。这就是内核知道登录的人是 dwalsh 的方式。
  容器
  现在让我们来看看容器。

   sudo podman run fedora cat /proc/self/loginuid
  3267

甚至容器进程也保留了我的 loginuid。 现在让我们用 Docker 试试。

sudo docker run fedora cat /proc/self/loginuid
  4294967295

为什么不一样?
  Podman 对于容器使用传统的 fork/exec 模型,因此容器进程是 Podman 进程的后代。Docker 使用客户端/服务器模型。我执行的 docker 命令是 Docker 客户端工具,它通过客户端/服务器操作与 Docker 守护进程通信。然后 Docker 守护程序创建容器并处理 stdin/stdout 与 Docker 客户端工具的通信。
  进程的默认 loginuid(在设置 loginuid 之前)是 4294967295(LCTT 译注:232 - 1)。由于容器是 Docker 守护程序的后代,而 Docker 守护程序是 init 系统的子代,所以,我们看到 systemd、Docker 守护程序和容器进程全部具有相同的 loginuid:4294967295,审计系统视其为未设置审计 UID。

   cat /proc/1/loginuid
  4294967295

怎么会被滥用?
  让我们来看看如果 Docker 启动的容器进程修改 /etc/shadow 文件会发生什么。

  $ sudo docker run --privileged -v /:/host fedora touch /host/etc/shadow
  $ sudo ausearch -f /etc/shadow -i type=PROCTITLE msg=audit(10/10/2018 10:27:20.055:4569) : proctitle=/usr/bin/coreutils --coreutils-prog-shebang=touch /usr/bin/touch /host/etc/shadow type=SYSCALL msg=audit(10/10/2018 10:27:20.055:4569) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7ffdb6973f50 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=11863 pid=11882 auid=unset uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=unset comm=touch exe=/usr/bin/coreutils subj=system_u:system_r:spc_t:s0 key=(null)

在 Docker 情形中,auid 是未设置的(4294967295);这意味着安全人员可能知道有进程修改了 /etc/shadow 文件但身份丢失了。
  如果该攻击者随后删除了 Docker 容器,那么在系统上谁修改 /etc/shadow 文件将没有任何跟踪信息。
  现在让我们看看相同的场景在 Podman 下的情况。

  $ sudo podman run --privileged -v /:/host fedora touch /host/etc/shadow
  $ sudo ausearch -f /etc/shadow -i type=PROCTITLE msg=audit(10/10/2018 10:23:41.659:4530) : proctitle=/usr/bin/coreutils --coreutils-prog-shebang=touch /usr/bin/touch /host/etc/shadow type=SYSCALL msg=audit(10/10/2018 10:23:41.659:4530) : arch=x86_64 syscall=openat success=yes exit=3 a0=0xffffff9c a1=0x7fffdffd0f34 a2=O_WRONLY|O_CREAT|O_NOCTTY| O_NONBLOCK a3=0x1b6 items=2 ppid=11671 pid=11683 auid=dwalsh uid=root gid=root euid=root suid=root fsuid=root egid=root sgid=root fsgid=root tty=(none) ses=3 comm=touch exe=/usr/bin/coreutils subj=unconfined_u:system_r:spc_t:s0 key=(null)

由于它使用传统的 fork/exec 方式,因此 Podman 正确记录了所有内容。
  这只是观察 /etc/shadow 文件的一个简单示例,但审计系统对于观察系统上的进程非常有用。使用 fork/exec 容器运行时(而不是客户端/服务器容器运行时)来启动容器允许你通过审计日志记录保持更好的安全性。
  最后的想法
  在启动容器时,与客户端/服务器模型相比,fork/exec 模型还有许多其他不错的功能。例如,systemd 功能包括:
  SD_NOTIFY:如果将 Podman 命令放入 systemd 单元文件中,容器进程可以通过 Podman 返回通知,表明服务已准备好接收任务。这是在客户端/服务器模式下无法完成的事情。
  套接字激活:你可以将连接的套接字从 systemd 传递到 Podman,并传递到容器进程以便使用它们。这在客户端/服务器模型中是不可能的。
  在我看来,其最好的功能是作为非 root 用户运行 Podman 和容器。这意味着你永远不会在宿主机上授予用户 root 权限,而在客户端/服务器模型中(如 Docker 使用的),你必须打开以 root 身份运行的特权守护程序的套接字来启动容器。在那里,你将受到守护程序中实现的安全机制与宿主机操作系统中实现的安全机制的支配 —— 这是一个危险的主张。

最后:

欢迎关注公众号:程序员阿沐,领取一份Python自动化测试工程师核心知识点总结!

这些资料的内容都是面试时面试官必问的知识点,篇章包括了很多知识点,其中包括了有基础知识、Linux必备、Shell、互联网程序原理、Mysql数据库、抓包工具专题、接口测试工具、测试进阶-Python编程、Web自动化测试、APP自动化测试、接口自动化测试、测试高级持续集成、测试架构开发测试框架、性能测试、安全测试等。

程序员阿沐
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
podman
qq_59324730的博客
05-09 423
安装 [root@localhost ~]# cd /etc/yum.repos.d/ [root@localhost yum.repos.d]# ls [root@localhost yum.repos.d]# curl -o /etc/yum.repos.d/CentOS-Base.repo https://mirrors.aliyun.com/repo/Centos-vault-8.5.2111.repo % Total % Received % Xferd Average Sp...
Podman
Cinnamorollwq的博客
08-15 537
Podman
Podman常用命令
最新发布
haohaizi_liu的专栏
06-11 275
- Podman是一个快速、轻量级的容器运行时工具,比其他容器工具如Docker加节省资源。- Podman采用无守护进程的架构,可以在无需root权限的情况下运行容器,提供高的安全性。- Podman支持多种容器格式,如Docker格式(OCI)和Kubernetes(CRI-O)格式,可以与现有的容器生态系统无缝集成。- Podman提供了强大的命令行工具和API,可以方便地创建、管理和监控容器。- Podman可以直接运行Docker镜像,不需要进行任何修改或转换。
podman-1-容器运行时的OCI规范
qq_20466211的博客
05-24 935
浅析容器运行时奥秘——OCI标准 容器技术火起来了以后,Docker的容器镜像和容器运行时已然成为行业的标准。此后,为了推进容器生态的健康发展。在Linux基金会的主导下,Docker和各大云厂商Google, Amazon, CloudFoundary, Microsoft积极响应于2016年成立了 Open Container Initiative(开放式容器倡议),旨在主导容器的生态发展方向,促进容器生态的健康发展。 1 背景 一、2013年Docker开源了容器镜像格式和运行时以后,为我们提供了一种
最流行的容器运行Podman,如何拿下17K Star?
03-08 1212
Podman是一个基于libpod库开发的容器运行时,与传统的Docker容器运行时不同,Podman无需依赖Docker守护进程。它是最流行的容器运行时之一,在Github上拥有17.1K Star。
Podman之Podman容器基础
YangLuxxx123
12-15 1578
Podman之Podman容器基础 1. 什么是podman Podman 原来是 CRI-O 项目的一部分,后来被分离成一个单独的项目叫 libpod。Podman 的使用体验和 Docker 类似,不同的是 Podman 没有 daemon。以前使用 Docker CLI 的时候,Docker CLI 会通过 gRPC API 去跟 Docker Engine 说「我要启动一个容器」,然后 Docker Engine 才会通过 OCI Container runtime(默认是 runc)来启动一个容器
Quark:具有OCI接口的安全容器运行
03-09
什么是Quark容器Quark Container是具有以下功能的高性能安全容器运行时: 兼容OCI:Quark Container包含一个开放容器倡议(OCI)接口。 常见的Docker容器映像可以在Quark容器运行安全:它提供虚拟机级别的工作...
容器运行安全的建设实践.pdf
08-08
02 容器运行安全 03 安全建设与实践 04 总结与思考 容器虚拟化技术应用程度的越来越广泛了,对比传统应用服务,容器化微服务确实能体现他的太多优势,比如说快速的新迭代,弹性伸缩,高度自动化的运营等。 17年...
snapd-docker:创建一个能够运行快照的Docker容器
05-15
创建并运行一个能够运行快照包的Docker容器 该脚本允许您创建能够运行和构建快照包的Docker容器。 警告:这将创建一个禁用安全选项的容器,这是不受支持的设置,如果您在同一容器内有多个快照包,它们将能够突破...
生产环境中安全运行Docker容器
01-11
安全运行容器的其他方法还包括最小化受攻击面和应用Linux安全过程,标准Linux安全过程和针对容器环境的特定过程都要应用。 在启动容器时传入–read-only标记就可以 在只读模式下运行 它。这可以防止任何进程写入...
KubeArmor:容器感知的运行安全执行系统
03-11
KubeArmorKubeArmor简介 KubeArmor是一个可感知容器运行安全实施系统,可在系统级别限制容器的行为(例如进程执行,文件访问,联网操作和资源利用)。 KubeArmor与,这意味着,如果Linux安全模块(例如 , 或 )...
podman-container-systemd:使用podman创建systemd文件并创建容器
03-11
podman-container-systemd 角色设置要在systemd帮助下在主机上运行容器。 实现容器事件,但不控制或跟踪生命周期。 这是外部工具的工作,集群中的和本地安装中的 。 我写这个角色是为了帮助管理不是集群的个人服务器上的podman容器生命周期。 因此,我想使用systemd使其保持启用状态并通过重新引导运行。 扮演什么角色: 安装Podman 拉取所需的图像 在连续运行中,它会再次提取图像,如果图像发生改,则重新启动容器(尚未针对Pod) 创建用于容器或吊舱的systemd文件 如果容器死亡,则集的容器或吊舱将始终自动重新启动。 在系统启动时使容器容器进入运行状态 添加或删除容器暴露给防火墙的端口。 它需要给定用户下运行无根容器的参数(我尚未使用Pod模式对此进行测试) 作为参考,请参见有关角色的这两个博客: 博客描述了如何使用此模块将单个容器
podman-compose:使用podman运行docker-compose.yml的脚本
05-12
Podman撰写 带有后端的 docker-compose的实现。 该项目的主要目标是能够未经修改且无根地运行docker-compose.yml 。 该项目旨在为docker-compose提供docker-compose替换,并且在某些情况下非常有用,因为: 可以无根运行 仅取决于podman和Python3和 没有守护程序,没有设置。 开发人员可以使用它来使用单个熟悉的YAML文件运行单机容器化堆栈 对于类似生产的单机集装箱化环境,请考虑 | 对于真实的东西(多节点集群),请检查任何生产的OpenShift / Kubernetes发行版,例如 。 笔记 该项目仍在开发中。 安装 从PyPI安装最新的稳定版本: pip3 install podman-compose 通过--user可以在没有root用户的情况下安装在普通用户家中。 或来自GitHub的最新开发版本:
docker 注册表 服务器,使用Podman设置Docker容器注册表并加密SSL
weixin_33187773的博客
07-29 701
本文将向您展示如何使用Podman创建本地Docker容器映像注册表。容器映像专用注册表使您可以安全地在本地工作,因为您可以管理所有内容,使用容器注册表,您可以在任何计算机上构建容器映像,然后使用Docker或Podman CLI将其推送到本地容器注册表。Podman是一个无守护进程的容器引擎,用于在Linux系统上开发、管理和运行OCI容器。一旦安装了Podman(参考:在CentOS 8/RH...
容器运行podman,并作为 动态slave节点应用于jenkins中
u013332975的博客
09-29 891
容器运行podman,并作为 动态slave节点应用于jenkins中 基于k8s+jenkins 的ci/cd 框架下,所有的操作(下载代码,静态代码检测,代码编译,UT ,版本制作,版本推送,AC)都是在容器中执行的。如果版本制作,版本推送的制品是镜像的话,就需要dind 技术 及在docker 起的容器运行 docker 命令。但是由于docker 依赖于 docker.sock 这个守护进程, 但是 容器中是没法运行这个进程的。所以人们想到的方法是用特权模式(–privileged)运行安装了d
使用 podman 将容器作为 systemd 服务运行
tearon的博客
04-17 2976
本文介绍了如何使用 podman 初始化 systemd 服务,以两种不同的方式使用容器: 使用 systemd 启动容器:通过在宿主机上生成并使用 systemd 单元文件,你可以让宿主机对容器进行自动启动、停止、检查状态,以及以其他方式容器作为 systemd 服务进行管理。 使用 systemd 启动容器中的服务:许多 Linux 服务(Web 服务器、文件服.
Docker 大势已去,Podman 万岁
热门推荐
云原生实验室
10-17 10万+
前言郑重声明:本文不是 Podman 的入门篇,入门请阅读这篇文章:再见 Docker,是时候拥抱下一代容器工具了Podman 原来是 CRI-O 项目的一部分,后来被分...
Podman 保姆级使用教程,太顶了!
云原生实验室
02-28 7408
作者:华龙飞。主要负责 Red Hat 产品与技术栈的培训交付,客户主要涉及金融、通信、汽车、医疗等行业。热爱并研究开源技术,熟悉 RHEL 各版本,SuSE Linux 各版本,热衷研究...
【Docker】docker介绍及podman使用命令
qq_40273285的博客
02-25 4937
Docker 开源应用容器引擎,go语言 作用:打包应用到一个容器,随时一波带走 优势:沙箱机制(虚拟系统程序,运行程序都是独立的,不会对现有系统产生影响),开销低 docker架构 三个基本概念 镜像:image,root文件系统 容器:镜像和容器===类似于===面向对象类和实例,镜像是静态的,容器是实体对象,可以被创...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值