19 | 容器安全(1):我的容器真的需要privileged权限吗?

最新推荐文章于 2024-06-05 08:50:27 发布
最新推荐文章于 2024-06-05 08:50:27 发布
阅读量1.9k 收藏 4
点赞数 2
分类专栏: # 容器实战课程 文章标签: linux 容器
原文链接:baidu.com
版权

本文仅作为学习记录,非商业用途,侵删,如需转载需作者同意。

下面说下容器安全的模块。

容器的安全很大程度由容器的架构特性决定的:比如容器与宿主机共享Linux 内核,通过Namespace来做资源的隔离,通过 shim/runC 的方式来启动等。

这些容器架构特性,在选择使用容器之后,作为容器的用户,其实没有多少能力去对架构层面做安全上的改动了。
你可能会说用Kata Container、gVisor 就是安全“容器”了。不过,Kata 或者 gVisor 只是兼容了容器接口标准,而内部的实现完全是另外的技术了。

对于使用容器的用户,在运行容器的时候,在安全方面可以:

  • 赋予容器合理的capabilities
  • 在容器中以非root用户来运行程序

一、问题再现

缺省docker run 的方式启动容器后,容器中很多操作都是不允许的,即使是以root用户来运行程序也不行。

例子

# docker run --name iptables -it registry/iptables:v1 bash
[root@0b88d6486149 /]# iptables -L
iptables v1.8.4 (nf_tables): Could not fetch rule set generation id: Permission denied (you must be root)
 
[root@0b88d6486149 /]# id
uid=0(root) gid=0(root) groups=0(root)

看上面的返回结果,提示没有权限,容器中都已经是root了。

查阅资料,容器启动的时候有个 “privileged” 参数,我们用了这个参数后,iptables 就启动成功了。

# docker stop iptables;docker rm iptables
iptables
iptables
# docker run --name iptables --privileged -it registry/iptables:v1 bash
[root@44168f4b9b24 /]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

使用 privileged 是否合理。代码 里看到,使用该参数就会获取所有的 capabilities

            if ec.Privileged {
                        p.Capabilities = caps.GetAllCapabilities()
            }

二、基本概念

2.1、Linux capabilities

Linux capabilities 官方手册的描述。

在Linux capabilities 出现前,进程的权限分为两类:

  • 特权用户的进程,进程的有效用户ID 是0,简单来说就是root 用户
  • 非特权用户的进程,进程的有效用户ID 是非0 ,就是非root用户

特权用户进程可以执行Linux 系统上的所有操作
而非特权用户进程在执行某些操作的时候就会被内核限制

从kernel 2.2 开始,Linux 开始把特权做了更详细的划分,划分出来的每个单元就被称为 capability

所有的 capabilities 都在 Linux capabilities 的手册列出来了。

对于任意一个进程,在做任意一个特权操作的时候,都需要有这个特权操作对应的capability。

比如说,运行 iptables 命令,对应的进程需要有 CAP_NET_ADMIN 这个capability ,如果要mount 一个文件系统,那么对应的进程需要有 CAP_SYS_ADMIN 这个capability

CAP_SYS_ADMIN 这个capability 里允许了大量的特权操作,包括文件系统,交换空间,还有对各种设备的操作,以及系统调试相关的调用等。

在普通的Linux 节点上,非root 用户启动的进程缺省没有任何 Linux capability ,而root 用户启动的进程缺省包含了所有的 Linux capability。

==

做个实验,对于root用户启动的进程,把CAP_NET_ADMIN 这个capability 移除,看看是否有权限运行 iptables 命令。

可以使用 capsh 命令来移动某个 capability

# sudo /usr/sbin/capsh --keep=1 --user=root   --drop=cap_net_admin  --   -c './iptables -L;sleep 100'
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination
iptables: Permission denied (you must be root).

如上图,可以看到root用户,如果把CAP_NET_ADMIN 移除了,那么执行 iptables 的时候就会看到"Permission denied (you must be root)."的提示信息。

同时我们可以通过/proc/ 文件系统找到对应进程的status,这样就能确认进程中的CAP_NET_ADMIN 是否已经被移除了。

# ps -ef | grep sleep
root     22603 22275  0 19:44 pts/1    00:00:00 sudo /usr/sbin/capsh --keep=1 --user=root --drop=cap_net_admin -- -c ./iptables -L;sleep 100
root     22604 22603  0 19:44 pts/1    00:00:00 /bin/bash -c ./iptables -L;sleep 100
 
# cat /proc/22604/status | grep Cap
CapInh:            0000000000000000
CapPrm:          0000003fffffefff
CapEff:             0000003fffffefff
CapBnd:          0000003fffffefff
CapAmb:         0000000000000000

对于当前进程,直接影响某个特权操作是否可以被执行的参数,是"CapEff",也就是"Effective capability sets",这是一个 bitmap,每一个 bit 代表一项 capability 是否被打开。

在 Linux 内核capability.h里把 CAP_NET_ADMIN 的值定义成 12,所以我们可以看到"CapEff"的值是"0000003fffffefff",第 4 个数值是 16 进制的"e",而不是 f。

这表示 CAP_NET_ADMIN 对应的第 12-bit 没有被置位了(0xefff = 0xffff & (~(1 << 12))),所以这个进程也就没有执行 iptables 命令的权限了。

对于进程 status 中其他几个 capabilities 相关的参数,它们还需要和应用程序文件属性中的 capabilities 协同工作,这样才能得到新启动的进程最终的 capabilities 参数的值。

在这里插入图片描述
如果我们要启动一个程序,在Linux里的过程就是先通过fork()来创建出一个子进程,然后调用 execve() 系统调用来读取文件系统里的程序文件,把程序文件加载到进程的代码段中开始运行。

就像图中所描绘的那样,这个新运行的进程里相关的capabilities 参数的值,由它的父进程以及程序文件中的capabilities 参数值计算得来的。

文件中可以设置capabilities 参数值,并且这个值会影响到最后运行它的进程

比如我们把iptables的应用程序加上 CAP_NET_ADMIN 的capability ,那么即使非root用户也可以执行iptables了。


$ id
uid=1000(centos) gid=1000(centos) groups=1000(centos),10(wheel)
$ sudo setcap cap_net_admin+ep ./iptables
$ getcap ./iptables
./iptables = cap_net_admin+ep
$./iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
DOCKER-USER  all  --  anywhere             anywhere
DOCKER-ISOLATION-STAGE-1  all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere             ctstate RELATED,ESTABLISHED
DOCKER     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
ACCEPT     all  --  anywhere             anywhere
…

Linux capabilities 就是把Linux root 用户原来所有的特权做了细化,可以更加细粒度的给进程赋予不同的权限。

三、解决问题

privileged的容器就是允许容器中的进程可以执行所有的特权操作

容器缺省启动的时候,系统最多只允许15个capabilities runC spec 文档中的 security 部分。

也可以查看容器中 init 进程 status 里的cap 参数,看一下容器缺省的capabilities。

# docker run --name iptables -it registry/iptables:v1 bash
[root@e54694652a42 /]# cat /proc/1/status  |grep Cap
CapInh:            00000000a80425fb
CapPrm:          00000000a80425fb
CapEff:              00000000a80425fb
CapBnd:          00000000a80425fb
CapAmb:         0000000000000000

直接使用 privileged 参数把所有的capabilities 都给容器是很危险的事情。
容器中的进程有了 CAP_SYS_ADMIN 的特权之后,这些进程就可以在容器里直接访问磁盘设备,直接可以读取或者修改宿主机上的所有文件了。

所以在容器平台上是基本不允许把容器直接设置为privileged的,我们需要根据容器中进程需要的最少特权来赋予 capabilities。

开头的问题,iptables 需要CAP_NET_ADMIN 这个capabilities ,我们只要在运行Docker 的时候,给这个容器多加一个 NET_ADMIN 参数就可以了。

--cap-add NET_ADMIN

# docker run --name iptables --cap-add NET_ADMIN -it registry/iptables:v1 bash
[root@cfedf124dcf1 /]# iptables -L
Chain INPUT (policy ACCEPT)
target     prot opt source               destination
 
Chain FORWARD (policy ACCEPT)
target     prot opt source               destination
 
Chain OUTPUT (policy ACCEPT)
target     prot opt source               destination

四、重点小结

Linux capabilities 就是把Linux root 用户原来所有的特权做了细化,可以更加细粒度的给进程赋予不同的权限。

对于Linux 中每一个特权都有一个对应的capability,对于一个capability,有的对应一个权限操作,有的对应很多个特权操作。

每个Linux 进程有5个capabilities 集合参数,其中Effctive 集合里的capabilities 决定了当前进程可以做哪些特权操作。
而其他的集合参数会和应用程序文件的capabilities 集合参数来一起决定新启动程序的capabilities 集合参数。

对于容器的root用户,缺省只赋予了15个capabilities。
如果发现容器中的进程的权限不够,就需要分析它需要最小的capabilities集合,而不是直接赋予容器 privileged。

因为"privileged"包含了所有的 Linux capabilities, 这样"privileged"就可以轻易获取宿主机上的所有资源,这会对宿主机的安全产生威胁。所以,我们要根据容器中进程需要的最少特权来赋予 capabilities。

五、评论

1、
getcap $(which ping)
setcap -r $(which ping)

顺便举个之前使用过的例子:普通用户默认没有 tcpdump 抓包权限,可添加 net_raw、net_admin caps:
sudo setcap cap_net_raw,cap_net_admin+ep $(which tcpdump)

2、
getcap /usr/bin/ping 查看ping进程当前cap
setcap cap_net_admin,cap_net_raw+p /usr/bin/ping 设置ping进程cap

getcap setap capsh 等命令的解释的博客,很牛逼的博客
https://www.cnblogs.com/ryanyangcs/p/11798292.html

3、
问题:
selinux是不是实际上就是限制cap权限的操作

回答:
selinux 是通过对object, 例如进程\文件, 打上label来控制这些object的相互作用。

草办_sh
关注
  • 2
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
使用特权模式,以root用户登陆容器
yjk13703623757的博客
11-11 799
# docker run -it \ -u root \ --privileged=true \ -v /home/yuejunkai/argocd:/home/argocd \ harbor.ctyuncdn.cn/devops/argoproj/argocd:v2.0.0 /bin/bash 注: --privileged=true,使用特权模式,否则进入到容器中提示没有权限修改 -u root,表示使用root用户登陆。 ...
docker容器中切换用户,提示权限不足的解决
01-20
docker容器中切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t –privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下...
Docker启动特权容器
SHELLCODE_8BIT的博客
09-20 946
使用--privileged参数即可。
Docker容器开启特权模式
最新发布
xjfyt0129的博客
06-05 458
解决docker容器内特权模式的问题
查看容器是否开启了特权模式
喝醉酒的小白
02-20 812
通过使用这些配置,您可以在Kubernetes集群中配置容器安全性和权限级别。请注意,在为容器设置特权模式时,需要谨慎考虑潜在的安全风险,并确保只向可信的容器授予特权。这段代码是Kubernetes中的Pod配置文件中的。请注意,只有在具有足够权限的情况下,才能运行。它用于定义容器安全上下文。
docker容器安全设置
weixin_43991475的博客
03-31 1279
一、 privileged=true|false 介绍 false默认 container内的root只是外部的一个普通用户权限。 true container内的root拥有真正的root权限。 当以privileged为ture启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器 二、以privileged为ture启动的容器 docker run --name 容器名称 -d -it --privil...
Docker 容器安全(1):我的容器真的需要privileged权限吗?
小楼一夜听春雨,深巷明朝卖杏花
09-11 4072
容器安全是一个很大的话题,容器安全性很大程度是由容器的架构特性所决定的。比如容器与宿主机共享 Linux 内核,通过 Namespace 来做资源的隔离,通过 shim/runC 的方式来启动等等。 这些容器架构特性,在你选择使用容器之后,作为使用容器的用户,其实你已经没有多少能力去对架构这个层面做安全上的改动了。你可能会说用Kata Container、gVisor 就是安全容器”了。不过,Kata 或者 gVisor 只是兼容了容器接口标准,而内部的实现完全是另外的技术了。 那么对于使用容器的.
在Docker容器中使用iptables时的最小权限的开启方法
01-10
Dcoker容器在使用的过程中,有的时候是需要使用在容器中使用iptables进行启动的,默认的docker run时都是以普通方式启动的,没有使用iptables的权限,那么怎样才能在容器中使用iptables呢?要如何开启权限呢? 那么...
docker 启动容器出现 Exited
01-07
这个时候将容器删除,在执行容器启动的命令中加入 –privileged=true,例如我在用docker 搭建elasticsearch 集群时出现上述问题的时候,就执行下面这个命令 docker run –privileged=true -e ES_JAVA_OPT
docker 详解设置容器防火墙
01-11
有一个image为aaa的将启动为容器名为bbb的且在容器需要使用iptables功能,可以使用–privileged=true来进行开启,如: docker run --privileged=true -d -p 4489:4489/tcp --name bbb aaa 方法二:部分开放 ...
容器技术-Docker容器特权模式.pptx
11-24
本篇主要关注的是Docker容器的特权模式,这是一种特殊的安全设置,允许容器拥有更多的系统权限,类似于运行在宿主机上的进程。 首先,我们了解下容器特权模式的基本概念。在Docker中,容器通常运行在一个受限制的...
docker容器启动后修改启动命令参数
热门推荐
q527641488的博客
05-02 3万+
1. 查看docker镜像 docker images  PEROSITORY TAG centos              latest 2. 创建docker 容器 docker run centos:latest /bin/bash 3. 退出docker容器 exit 4. 查看容器 docker ps -a CONTAINER ID   IMAGE    COMMA
MacOS/OSX docker修改已运行容器参数的方法
Afterwards_的专栏
09-21 1489
比如我们刚刚docker run了一个容器,然后里面已经配置了一些信息,装了一些东西,然后我发现我忘记了挂载一个文件夹,怎么修改他们呢?
docker privileged用法
完颜振江
02-06 2779
标志来运行容器时,容器内的进程将具有对主机系统的完全访问权限,包括访问设备、挂载文件系统等。这在一些特定的使用情况下可能是必要的,但同时也带来了一些安全风险。标志在某些情况下很有用,但也存在潜在的安全风险。因为容器内的进程可以直接影响到主机系统,如果恶意进程获得了容器的控制权,可能会对主机系统造成严重的损害。标志,并且在可能的情况下采取其他更安全的替代方案。是Docker容器的一个选项,用于授予容器内的进程对主机系统的更高权限。标志来授予容器对这些设备的访问权限,而不必使用。因此,建议仅在确实需要时使用。
linux命令报错Permission denied (you must be root)
qq_30908729的博客
07-31 1万+
执行linux命令报错: iptables v1.4.7: can't initialize iptables table `filter': Permission denied (you must be root)   解决方法:http://www.yayihouse.com/yayishuwu/chapter/1383  
分析docker启动MySQL挂载目录提示权限不足Permission denied原因
jiangyunfan16的博客
10-10 1万+
分析docker启动MySQL挂载目录提示权限不足Permission denied原因
LWN: 让container更加安全
Linux News搬运工
09-02 407
点击上方蓝色“Linux News搬运工”关注我们~Making containers saferByJake EdgeLSS-NA在Linux Security Su...
docker--privileged
zhou920786312的博客
08-15 1万+
一、 privileged=true|false 介绍 true container内的root拥有真正的root权限。 false container内的root只是外部的一个普通用户权限。 默认false privileged启动的容器 可以看到很多host上的设备 可以执行mount。 可以在docker容器中启动docker容器。 二、测试验证 2.1、未设置privileged启动的容器 docker run -it centos:7.7.1908 bash 不可以执行
普通用户可以特权方式启动docker容器吗?docker run --privileged
06-11
默认情况下,只有 root 用户才能使用 `--privileged` 参数启动 Docker 容器,因为该参数会让容器拥有访问宿主机系统资源的特权。如果使用普通用户启动容器,会提示权限不足的错误。 不过,您可以通过配置 Docker 守护进程来允许普通用户启动特权容器。具体来说,您需要将普通用户添加到 `docker` 用户组中,并将 Docker 守护进程配置为允许该用户组的成员使用特权容器。 具体操作步骤如下: 1. 将普通用户添加到 `docker` 用户组中: ``` sudo usermod -aG docker your_username ``` 其中,`your_username` 是您要添加到 `docker` 用户组中的用户名。 2. 编辑 Docker 配置文件 `/etc/docker/daemon.json`,配置容器运行时的默认参数: ``` { "default-runtime": "nvidia", "runtimes": { "nvidia": { "path": "nvidia-container-runtime", "runtimeArgs": [] } }, "runcmd": [ "/usr/sbin/sysctl -w kernel.perf_event_paranoid=-1" ], "max-concurrent-downloads": 10, "max-concurrent-uploads": 10, "iptables": true, "ipv6": true, "userns-remap": "default", "experimental": true, "features": { "buildkit": true }, "group": "docker" } ``` 其中,`group` 参数设置为 `docker`,表示允许属于 `docker` 用户组的成员使用 Docker。 3. 重新启动 Docker 守护进程: ``` sudo systemctl daemon-reload sudo systemctl restart docker ``` 4. 使用普通用户身份启动特权容器: ``` docker run --privileged -it bcc-image ``` 现在,普通用户已经可以使用特权容器了。需要注意的是,使用特权容器会增加安全风险,需要谨慎使用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值