为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令

本文涉及的产品
日志服务 SLS,月写入数据量 50GB 1个月
简介: 本文讲的是为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令,【编者的话】容器技术最大的弱点是安全性不足,Docker也不例外。因此,如何加强Docker的安全性是每一个Docker用户必须慎重考虑的问题。
本文讲的是为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令 【编者的话】容器技术最大的弱点是安全性不足,Docker也不例外。因此,如何加强Docker的安全性是每一个Docker用户必须慎重考虑的问题。这篇文章介绍了不用sudo而直接运行Docker命令所存在的安全漏洞,并强烈建议通过设置sudo规则作为暂时的解决方法。

我经常会收到用户反馈的Bug,他们问我们『为什么默认情况下不能使用非root用户直接运行Docker命令』。

Docker能够将 /run/docker.socket 的文件访问权限设为660,并将其所属的用户组设为 docker 。 这使得非root用户只要加入 docker 用户组,就无需使用 sudo ,或者通过 su 命令切换到root用户的情况下运行Docker命令。这听起来很不错。
ls -l /var/run/docker.sock 
srw-rw----. 1 root docker 0 Aug  3 13:02 /var/run/docker.sock

但是,在RHEL、Fedora和CentOS上,我们更喜欢将 doker.socket 设置为:
ls -l /var/run/docker.sock 
srw-rw----. 1 root root 0 Aug  3 13:02 /var/run/docker.sock

为什么呢?原因很简单:如果用户可以与Docker Socket通信,他们就能够执行以下命令:
docker run -ti --privileged -v /:/host fedora chroot /host

这时用户将拥有主机的完全控制权。这就相当于将sudoers文件修改为以下内容(译者注:dwalsh为用户名):
grep dwalsh /etc/sudoers
dwalsh  ALL=(ALL)   NOPASSWD: ALL

这将允许(dwalsh)用户无密码运行所有命令,获得主机的完全控制权。但是这有一个很大的安全漏洞。Docker命令没有内置的审计和日志功能,但是sudo有。

Docker目前会记录事件,但是Docker daemon重启时事件会消失。Docker目前没有审计功能。

从安全性的角度,红帽已经表达了允许非root用户在没有审计(auditing)和适当的日志的情况下访问Docker Daemon的顾虑。我们已经在 PR14446 实现了这些控制,它依靠了一个认证机制,但这个机制还在讨论中。在我们实现了审计和日志功能之前,我们推荐通过设置sudo规则来访问Docker Daemon。这将允许sudo来提供审计和日志功能。

设置sudo规则

如果你希望非root用户能够直接执行Docker命令,我们推荐通过设置sudo规则来实现。下面是设置Docker规则的简单教程。

/ect/sudoers 中添加以下内容: [译者注:使用visudo命令修改]
grep dwalsh /etc/sudoers
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker

这允许特定用户无需密码直接执行Docker命令。

注意 :我并不推荐使用NOPASSWD,这可能会导致你的系统中的任意进程都能获取root权限。如果你要求使用密码,则用户在运行Docker命令时需要输入密码,这将使得系统稍微安全一点。如果执行命令时输入了一次密码,则sudo将允许你在5分钟内再次运行Docker命令时不再需要输入密码。

紧接着,为Docker命令设置别名。
alias docker="sudo /usr/bin/docker"

现在,非root用户将被允许直接执行Docker命令(译者注:不需要使用sudo),并且记录了日志。
docker run -ti --privileged -v /:/host fedora chroot /host

查看journal日志或者/var/log信息:
journalctl -b | grep docker.*privileged
Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]:   dwalsh : TTY=pts/3 ; PWD=/home/dwalsh/docker/src/github.com/docker/docker ; USER=root ; COMMAND=/usr/bin/docker run -ti --privileged -v /:/host fedora chroot /host

查看审计日志:
ausearch -m USER_ROLE_CHANGE -i
type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success'

更强的安全性

如果你打算只允许用户访问一个特定的容器,你可以写一个简单的脚本:
cat /usr/bin/docker-fedora
#!/bin/sh
docker run -ti --rm fedora /bin/sh

写好脚本之后,配置sudoers:
grep dwalsh /etc/sudoers
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker-fedora

这个用户将仅能在没有权限限制下运行Fedora容器。

认证

我们还在开发其它程序补丁来增强Docker Daemon安全性,其中包括认证方面。我们有一个正在讨论的问题 #13697“为Docker增加kerberos支持”

授权

我们还提议为Docker增加授权/RBAC(基于角色的访问控制),这样管理员就可以控制哪些用户可以使用哪些容器/镜像进行哪些活动。如果你想查看这个提议或者评论或者提出建议,提议地址为: GitHub: rhatdan/docker-rbac

结论

如果需要支持非root用户直接运行Docker命令之前,那Docker Daemon的安全性还需要很多改进。但在这些改进实现之前,设置sudo规则是最好的选择。我们正在开发更好的解决方案,暂时我们仍然强烈推荐使用sudo。。

原文链接:Why we don't let non-root users run Docker in CentOS, Fedora, or RHEL (翻译:刘凯 审校:李颖杰)

========================================
译者介绍:
刘凯:毕业于中国科学技术大学,目前在日本国立信息学研究所攻读云计算方向的博士学位,近期专注于Docker技术的研究。个人站点: GitHub KiwenLau

原文发布时间为:2015-08-15
本文作者:KiwenLau 
本文来自云栖社区合作伙伴DockerOne,了解相关信息可以关注DockerOne。
原文标题:为什么我们不允许非root用户在CentOS、Fedora和RHEL上直接运行Docker命令
相关实践学习
日志服务之使用Nginx模式采集日志
本文介绍如何通过日志服务控制台创建Nginx模式的Logtail配置快速采集Nginx日志并进行多维度分析。
目录
相关文章
|
1天前
|
JSON 数据格式 Docker
Docker 网络命令大全,建议收藏!
【7月更文挑战第22天】
17 7
Docker 网络命令大全,建议收藏!
|
7天前
|
Shell Linux Docker
docker常用命令大全(基础、镜像、容器、数据卷)
这些命令仅仅是 Docker 命令行工具的冰山一角,但对于日常操作来说已经非常全面。通过熟练地使用这些基础命令,用户可以有效地管理 Docker 的镜像、容器、数据卷和网络。随着用户对 Docker 的深入使用,更高级的命令和选项将会变得必需,但上面列出的命令已经为用户提供了一个坚实的起点。对于初学者来说,理解和掌握这些常用命令是深入学习 Docker 的基础。
87 5
docker常用命令大全(基础、镜像、容器、数据卷)
|
13天前
|
存储 Linux 网络安全
Centos安装Docker的详细安装步骤,Docker相关组件:docker-ce-cli、docker-ce和containerd.io的区别
Centos安装Docker的详细安装步骤,Docker相关组件:docker-ce-cli、docker-ce和containerd.io的区别;CentOS7安装DockerCompose;Docker镜像仓库
262 11
|
8天前
|
弹性计算 运维 应用服务中间件
容器的优势,在Docker中运行Tomcat
摘要:了解Docker与虚拟机的区别:虚拟机使用Hypervisor创建完整操作系统,而容器通过namespace和cgroup实现轻量级隔离,共享主机内核。Docker启动快、资源利用率高,适合快速部署和跨平台移植。但安全性相对较低。示例介绍了如何通过Docker搜索、拉取官方Tomcat镜像并运行容器,最后验证Tomcat服务的正常运行。
|
27天前
|
缓存 Linux Docker
CentOS 7 下安装 Docker 及配置阿里云加速服务
CentOS 7 下安装 Docker 及配置阿里云加速服务
409 1
|
28天前
|
Linux Docker 容器
Centos8安装Docker
Centos8安装Docker
85 1
|
1月前
|
Linux C语言 C++
Linux 下centos 查看 -std这个编译时命令 是否支持 C17
Linux 下centos 查看 -std这个编译时命令 是否支持 C17
28 2
|
1月前
|
Docker 容器
docker network inspect 查询出来的网络的创建命令是什么
【6月更文挑战第17天】docker network inspect 查询出来的网络的创建命令是什么
27 1
|
19天前
|
关系型数据库 MySQL 数据安全/隐私保护
Docker01,相关介绍,是快速构建、运行、管理应用的工具
Docker01,相关介绍,是快速构建、运行、管理应用的工具
|
1月前
|
Ubuntu 应用服务中间件 Linux
Docker基本操作命令
Docker 允许用户基于现有的容器或通过 Dockerfile 自定义镜像。Dockerfile 是一个文本文件,包含了创建镜像所需的所有命令。 命令: docker build [OPTIONS] PATH PATH:Dockerfile 所在的路径 OPTIONS:构建过程中的可选参数,如 -t 用于标记镜像名和标签 例如,使用当前目录的 Dockerfile 来构建镜像,并标记为 my_image:latest: docker build -t my_image:latest . 以上是 Docker 基础命令的简介,通过这些命令,你可以开始探索 Docker 的强大功能,并将其
43 2