在CentOS上为Docker开启SELinux

最新推荐文章于 2023-04-21 15:03:14 发布
最新推荐文章于 2023-04-21 15:03:14 发布
阅读量3.9k 收藏 3
点赞数
分类专栏: Linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/xsm666/article/details/81357363
版权

现在公司生产服务器一般都使用CentOS 7系统,安装Docker也一直都是使用yum命令直接从CentOS自己的源安装。自从Docker项目改名为moby,进而诞生CE和EE两个不同版本后。不知是因为版权还是其他的什么原因,CentOS源中的Docker版本不再更新了,default维持在1.12.6,latest为1.13.1。

为了使用新版本的Docker,只能添加官方repo,然后安装docker-ce。安装完成后,在默认配置上与CentOS自带版相比,发现了两个不同之处:

  1. 存储驱动默认换成了overlay
  2. SELinux默认没有开启(指Docker服务配置)

分析

关于存储驱动的问题,这里暂时不做讨论,只是来看一下SELinux的问题。这里说的SELinux没有开启不是指在操作系统层面上将其disable掉了,而是说Docker服务的配置中没有将其enable。毕竟在Docker中开启SELinux是要在操作系统也就是Linux内核开启了SELinux的前提下进行的。首先,Docker没有开启SELinux,在现象上会有什么不同?

我们有两台服务器,第一台上Docker开启了SELinux,而第二台没有。两台上面都有运行nginx容器,执行如下命令对比一下:

[admin@server1 ~]$ ps -AZ | grep nginx
system_u:system_r:svirt_lxc_net_t:s0:c375,c378 2285 ? 00:00:22 nginx
system_u:system_r:svirt_lxc_net_t:s0:c245,c772 2407 ? 00:00:00 nginx
system_u:system_r:svirt_lxc_net_t:s0:c245,c772 2453 ? 00:00:02 nginx
system_u:system_r:svirt_lxc_net_t:s0:c375,c378 24771 ? 00:00:00 nginx

[admin@server2 ~]$ ps -AZ | grep nginx
system_u:system_r:spc_t:s0       4375 ?        00:00:00 nginx
system_u:system_r:spc_t:s0       4419 ?        00:00:00 nginx
system_u:system_r:spc_t:s0       4739 ?        00:00:01 nginx
system_u:system_r:spc_t:s0       4752 ?        00:00:01 nginx
system_u:system_r:spc_t:s0       9536 ?        00:00:00 nginx
system_u:system_r:spc_t:s0       9564 ?        00:00:00 nginx
system_u:system_r:spc_t:s0      19178 ?        00:00:00 nginx
system_u:system_r:spc_t:s0      19255 ?        00:00:00 nginx

通过对比,我们发现开启SELinux后的Docker服务:

  1. 容器内的进程运行在svirt_lxc_net_t domain下
  2. 不同容器内的进程,安全上下文sensitivity段是不相同的(SELinux的MCS隔离)

对于没有开启SELinux的Docker服务:

  1. 容器进程domain为spc_t
  2. 所有容器进程的安全上下文sensitivity完全相同

根据以上对比,显而易见的是,在SElinux没有开启时容器进程拥有相同的sensitivity,所以就无法依赖SELinux实现容器间的安全隔离了。也就是说如果某个容器内的服务进程因为漏洞等原因被入侵,进而被黑客控制,SELinux不会阻止此进程去访问其他容器的资源。

对于svirt_lxc_net_tspc_t,可能第一眼看来不会有那么多的想法,我们先来看看svirt_lxc_net_t的进程是个什么体验:

[admin@server2 ~]$ runcon -u system_u -r system_r -t svirt_lxc_net_t -l s0:c125,c512 /bin/bash
bash: /home/admin/.bashrc: Permission denied
bash-4.2$ ls
ls: cannot open directory .: Permission denied
bash-4.2$ ps -Z
system_u:system_r:svirt_lxc_net_t:s0:c125,c512 23686 pts/0 00:00:00 bash
system_u:system_r:svirt_lxc_net_t:s0:c125,c512 23722 pts/0 00:00:00 ps
bash-4.2$

因为当前目录的安全上下文类型是user_home_t,按照SELinux策略,svirt_lxc_net_t是没有权限访问的。虽然能够感受到进程确实受到了限制,但是还不是很直观。接下来用sepolicy命令分析一下安全策略:

[admin@server2 ~]$ sepolicy communicate -s svirt_lxc_net_t -t svirt_lxc_net_t
sysctl_net_unix_t
cifs_t
svirt_lxc_net_t
fusefs_t
cgroup_t
svirt_sandbox_file_t
usermodehelper_t
svirt_home_t
hugetlbfs_t
nfs_t

根据man page中的说明,这个命令用来分析source和target两个domain可以通过哪些type来通信,也就是哪些type对于source来说可写,对于target来说可读。我们把source和target指定为同一domain,来看看该domain能够读写哪些type。

我们看到了,一个很熟悉的svirt_sandbox_file_t,正是给Docker容器挂载volume时经常看到、用到的。据了解svirt_lxc_net_t相关策略就是为容器、虚拟化技术而设计的,除了可以访问svirt_sandbox_file_t类型的文件还拥有网络能力,并且可以执行/usr下大多数的命令。

再用以上命令看一下spc_t,因为行数太多,所以做一下统计:

[admin@server2 ~]$ sepolicy communicate -s spc_t -t spc_t | wc -l 
3816
[admin@server2 ~]$ sepolicy communicate -s unconfined_t -t unconfined_t | wc -l      
3816

根据当前的安全策略,3816个type,比起svirt_lxc_net_t的10个,不可同日而语。而且我们发现,不受限domain unconfined_t也是3816。那么spc_t就等于unconfined_t了吗?其实也不是。

根据Dan Walsh的Blog所讲,unconfined_t是为管理员而设置的一个user domain,SELinux安全策略会阻止绝大多数的受限domain和unconfined_t通信。spc_t全称为Super Privileged Container,也就是特权容器。根据SELinux策略,Docker daemon container_runtime_t可以通过transition转变为spc_t,而且大多数重要的受限domain可以通过unix domain socket和spc_t进行通信。

配置

上面的分析只是为了对SELinux对Docker的影响有更深入地了解,同时感受SELinux的重要性。其实在Docker服务配置中开启SELinux很简单:

  1. 一种方法是在dockerd启动时加上--selinux-enabled参数,在CentOS上可以修改systemd Unit文件docker.service
  2. 另一种方法实在/etc/docker/daemon.json配置文件中加上: 
    {
 "selinux-enabled": true
}
    然后重启docker服务

需要注意的是,在SELinux开启之前创建的容器不会受到影响。如果要为这些容器应用SELinux,可以重建,或者尝试自己修改容器的配置文件和文件系统。

 

参见docker官方文档:https://docs.docker.com/edge/engine/reference/commandline/dockerd/

 

迈克尔·杰克糖
关注
专栏目录
浅谈Docker安全性支持(下篇)
dzqxwzoe的博客
02-09 175
不过你要注意的是,各种权限设置对 root 是无效的,这个时候就可以使用委任式存取控制(MAC)了,使用MAC可以针对特定的程序与特定的文件资源来进行权限的控管 ,也就是说,即使是root用户,那么在使用不同的程序时,你所能取得的权限并不一定是root,而要根据当时程序的设置而定。说起进程数限制,大家可能都知道ulimit的nproc这个配置,nproc是存在坑的,与其他ulimit选项不同的是,nproc是一个以用户为管理单位的设置选项,即他调节的是属于一个用户UID的最大进程数之和。
Centos8.5.2111(2)之基于docker容器的SELinux及防火墙配置与管理
最新发布
wusam的专栏
09-28 1224
相应地,firewalld提供了九个区域的配置文件,分别是trusted.xml、home.xml、work.xml 、public.xml、dmz.xml、block.xml、drop.xml、internal.xml、external.xml,他们都保存在“/usr/lib/firewalld/zones/”目录下。-rw-------. 1 root root system_u:object_r:var_log_t:s0 2121223 9月 19 21:13 /var/log/messages。
centos7 启动docker失败--selinux-enabled=false
youjin的专栏
04-20 9856
centos7,执行完安装命令: yum install docker执行启动命令: systemctl   start docker  ,报下面错误:Error starting daemon: SELinux is not supported with the overlay2 graph driver on this kernel. Either boot into a newer kern...
docker selinux-enabled作用
weixin_30425949的博客
05-10 378
一.现象 在docker中有一个运行选项是selinux-enabled。这个选项的作用是啥? 简而言之,它提供了对docker容器中进程的selinux的控制支持。下面举例说明。 首先按照官方文档的说明在docker的启动参数中加入selinux-enabled的支持,当然,前提是你系统的selinux已经打开(https://docs.docker.com/engine/ref...
centos selinux_Docker 入门及安装部署(CentOS
weixin_39569051的博客
11-22 245
Docker 是一个开源的应用容器引擎,基于 Go 语言 并遵从 Apache2.0 协议开源。Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上,也可以实现虚拟化。Docker 从 17.03 版本之后分为 CE(Community Edition: 社区版) 和 EE(Enterprise Edition: 企业版...
SELinux 引起的docker启动失败
weixin_34310785的博客
06-22 458
问题描述: 有一台使用中的docker突然发生了故障,然后启动docker失败。 机器的系统版本:CentOS Linux release 7.3.1611 (Core) 最后将这台机器的docker卸载后重装,但是docker还是起不来,启动docker报“Error starting daemon: SELinux is not supported with the overlay2 grap...
docker-selinux
05-05
3. **容器上下文**:在 Docker 中,每个容器都有一个 SELinux 上下文,由用户、角色、类型和级别组成。这些上下文定义了容器可以执行的操作和可以访问的资源。 4. **策略定制**:`docker-selinux` 模块可能包含了...
CentOS 8.5 安装docker
技术讨论专栏
04-21 414
CentOS8.5安装docker
CentOS7 安装 Docker.doc
07-21
CentOS7 是一个流行的 Linux 发行版,本文档将介绍如何在 CentOS7 上安装 Docker。 一、卸载旧的 Docker 如果您之前已经安装了 Docker,可能需要卸载旧的 Docker,以避免可能的不兼容问题。可以使用以下命令卸载 ...
CentOS 7 安装Docker
流楚丶格念的博客
07-12 1954
Docker 分为 CE 和 EE 两大版本。CE 即社区版(免费,支持周期 7 个月),EE 即企业版,强调安全,付费使用,支持周期 24 个月。Docker CE 分为 和 三个更新频道。官方网站上有各种环境下的 安装指南,这里主要介绍 Docker CE 在 CentOS上的安装。Docker CE 支持 64 位版本 CentOS 7,并且要求内核版本不低于 3.10, CentOS 7 满足最低内核的要求,所以我们在CentOS 7安装Docker。如果之前安装过旧版本的Docker,可以使
详解在 CentOS 6.x上安装 docker.io
09-15
2. **安装 Fedora EPEL**:DockerCentOS 6.x 上的安装包名为 `docker-io`,并且来源于 Fedora EPEL 仓库。首先需要安装 EPEL。 - 执行 `yum install epel-release-6-8.noarch.rpm` 或在线下载安装。 - 如果...
centos7开启或关闭SELinux
REEB00T
04-30 2293
编辑SELinux的config文件 [root@linux7 ~]# vi /etc/selinux/config 找到SELINUX=disabled,按i进入编辑模式,通过修改该参数开启SELinux 强制模式SELINUX=enforcing:表示所有违反安全策略的行为都将被禁止。 宽容模式SELINUX=permissive:表示所有违反安全策略的行为不被禁止,但是会在日志中作记录。 修改完成后,按下键盘Esc键,执行命令:wq,保存并退出文件。 修改完成后,按下键盘Esc键,执行命令
centos 7.3 错误设置selinux 导致不能启动 Failed to load SELinux policy. Freezing
weixin_34227447的博客
06-09 1613
错误原因配置关闭SELinux,结果误操作应修改配置文件/etc/selinux/config中的“SELINUX”参数的值,# SELINUX=enforcing 原始配置SELINUX=disabled 正确但是误将“SELINUXTYPE”看成“SELINUX”,设置了SELINUXTYPE参数:#SELINUXTYPE=targeted 原始配置 这个不...
centos 关闭和启用selinux
移动互联网开发者
09-28 874
/usr/sbin/setenforce 0 立刻关闭 SELINUX /usr/sbin/setenforce 1 立刻启用 SELINUX
Docker selinux
weixin_30325487的博客
05-11 372
编辑/etc/sysconfig/docker文件,把OPTIONS='--selinux-enabled'的--selinux-enabled注释掉,也可以通过这个错误. 最大的问题就是Linux的一切都不是命名空间 (namespaced). 现在, Docker使用5个命名空间来改变系统的进程: 进程, 网络, Mount, 主机名,共享内存. 虽然有给用户一定的安全级别, ...
SELinux 引起的 Docker 启动失败
01-02 119
问题描述 Linux OS 版本 CentOS Linux release 7.2.1511 (Core) 启动Docker service docker start 启动失败信息 原因分析 Error starting daemon: SELinux is not supported with the overlay2 graph driver on this kernel. Eit...
CentOS上安装Docker CE的详细步骤
"该资源主要介绍了如何在 CentOS 系统上安装 Docker CE,包括卸载旧版本、安装 Docker 的步骤以及启动 Docker 的方法。" 在 Docker 技术领域,Docker 分为两个主要版本:Docker CE(社区版)和 Docker EE(企业版)...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值