需要用root用户运行Docker?
组织中,经常以Root用户运行Docker中的容器。但是你的工作负载真的需要root权限吗?显然很少。尽管如此,默认情况下,你的容器仍将以root用户身份运行,但这可能会带来严重的安全问题。实际上,如果以root用户运行容器内部的进程,就是以root用户身份运行主机的进程。这就为那些恶意访问主机的攻击者,提供了机会。
只需在常用的任何镜像上使用以下命令,你就可以自己查看它使用的用户身份,
$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
# ps aux
PID USER TIME COMMAND
1 root 0:10 sh
显然,作为最佳实践,我们应该避免以超级用户身份运行容器。因此,让我们看看如何以非root用户身份运行容器。
将非root用户添加到Dockerfile
你可以在Dockerfile中使用RUN命令创建用户,这个用户仅具有容器内工作负载所需的权限。
RUN groupadd --gid 5000 newuser
&& useradd --home-dir /home/newuser --create-home --uid 5000
--gid 5000 --shell /bin/sh --skel /dev/null newuser
上面的命令行创建了一个用户newuser, 并指定了用户登录后使用的主目录和shell 。如下所示,将用户添加到你的Dockerfile中:
FROM ubuntu:18.04
COPY . /myapp
RUN make /myapp
...
USER newuser
CMD python /myapp/hello.py
从第5行开始,每个命令都是以newuser身份而不是root身份运行。是不是很简单?
但是,我们并不总是仅使用自定义镜像。我们还使用了许多第三方镜像,因此我们无法像上面那样将root权限的用户注入其中。
这些第三方Docker镜像默认情况下将以root用户身份运行,除非我们对其进行处理。如果你使用不知名来源中的镜像,那么该镜像很可能嵌入了恶意命令,这就可能会影响集群的安全性。
Kubernetes中Pod安全上下文和Pod安全策略,可以帮助我们以非root身份运行三方镜像。
使用Pod安全上下文
你可以使用Pod安全上下文,将Pod的执行限制为特定的非root用户。通过在Pod规范中添加一个字段securityContext,就可以为Pod指定这些安全设置 。
apiVersion: v1
kind: Pod
metadata:
name: my-pod
spec:
securityContext:
runAsUser: 5000
runAsGroup: 5000
volumes:
- name: my-vol
emptyDir: {}
containers:
- name: my-container
image: hello-world
command: ["sh", "-c", "sleep 10 m"]
volumeMounts:
- name: my-vol
mountPath: /data/hello
securityContext:
allowPrivilegeEscalation: false
在以上规范中,我们创建了一个为非root的用户,runAsUser指定Pod内的任何容器 仅以userID为5000的运行。runAsGroup 指定的容器内所有进程的组ID。否则,则组ID将是0。
现在,你可以创建此pod并检查容器中运行的进程:
$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID USER TIME COMMAND
1 5000 0:00 sleep 10 m
6 5000 0:00 sh
如上所示,PID 1正在以userID为5000的用户而不是root用户身份运行。
使用Kubernetes Pod安全策略
Kubernetes Pod安全策略定义了Pod必须运行的条件。换句话说,如果不满足这些条件,Kubernetes将阻止Pod运行。
PodSecurityPolicy示例:
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
name: my-psp
spec:
privileged: false
#Required to prevent escalations to root.
allowPrivilegeEscalation: false
allowedCapabilities:
- '*'
volumes:
- 'nfs'
hostNetwork: true
hostPorts:
- min: 8000
max: 8000
hostIPC: true
hostPID: true
runAsUser:
#Require the container to run without root.
rule: 'MustRunAsNonRoot'
seLinux:
rule: 'RunAsAny'
supplementalGroups:
rule: 'RunAsAny'
fsGroup:
rule: 'RunAsAny'
该安全策略实现以下目的:
- 限制容器在特权模式下运行。
- 限制需要根目录的容器。
- 仅允许容器NFS存储卷。
- 仅允许容器访问主机端口8000。
应用:
kubectl create -f my-psp.yaml
查看:
$ kubectl get psp
NAME PRIV RUNASUSER FSGROUP SELINUX VOLUMES
My-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]
现在已经创建了策略,你可以通过尝试以root特权运行容器来对其进行测试。
$ kubectl run --image=my-root-container
pod安全策略将禁止其运行,并给出错误消息:
$ kubectl get pods
NAME READY STATUS
my-root-pod 0/1 container has runAsNonRoot and image will run as root
结论
在这篇文章中,我强调了默认设置下,使用root用户运行Docker容器有着固有风险。我还提出了多种方法来克服这种风险。
- 如果你正在运行自定义镜像,请创建一个新的非root用户并在Dockerfile中指定它。
- 如果使用的是第三方镜像,则可以在容器或容器级别设置安全上下文。
- 还有一种方法是创建一个Pod安全策略,该策略将不允许任何容器以root特权运行。