CentOS说 | 为什么我们不允许非root用户直接运行Docker命令?

Posted 分布式实验室

tags:

篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了CentOS说 | 为什么我们不允许非root用户直接运行Docker命令?相关的知识,希望对你有一定的参考价值。

我经常会收到用户反馈的Bug,他们问我们『为什么默认情况下不能使用非root用户直接运行Docker命令』。

Docker能够将/run/docker.socket的文件访问权限设为660,并将其所属的用户组设为docker。 这使得非root用户只要加入docker用户组,就无需使用sudo,或者通过su命令切换到root用户的情况下运行Docker命令。这听起来很不错。

ls -l /var/run/docker.sock 
srw-rw----. 1 root docker 0 Aug  3 13:02 /var/run/docker.sock

但是,在RHEL、Fedora和CentOS上,我们更喜欢将doker.socket设置为:

ls -l /var/run/docker.sock 
srw-rw----. 1 root root 0 Aug  3 13:02 /var/run/docker.sock

为什么呢?原因很简单:如果用户可以与Docker Socket通信,他们就能够执行以下命令:

docker run -ti --privileged -v /:/host fedora chroot /host

这时用户将拥有主机的完全控制权。这就相当于将sudoers文件修改为以下内容(译者注:dwalsh为用户名):

grep dwalsh /etc/sudoers
dwalsh  ALL=(ALL)   NOPASSWD: ALL

这将允许(dwalsh)用户无密码运行所有命令,获得主机的完全控制权。但是这有一个很大的安全漏洞。Docker命令没有内置的审计和日志功能,但是sudo有。

Docker目前会记录事件,但是Docker daemon重启时事件会消失。Docker目前没有审计功能。

从安全性的角度,红帽已经表达了允许非root用户在没有审计(auditing)和适当的日志的情况下访问Docker Daemon的顾虑。我们已经在PR14446实现了这些控制,它依靠了一个认证机制,但这个机制还在讨论中。在我们实现了审计和日志功能之前,我们推荐通过设置sudo规则来访问Docker Daemon。这将允许sudo来提供审计和日志功能。

设置sudo规则

如果你希望非root用户能够直接执行Docker命令,我们推荐通过设置sudo规则来实现。下面是设置Docker规则的简单教程。

/ect/sudoers中添加以下内容: [译者注:使用visudo命令修改]

grep dwalsh /etc/sudoers
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker

这允许特定用户无需密码直接执行Docker命令。

注意:我并不推荐使用NOPASSWD,这可能会导致你的系统中的任意进程都能获取root权限。如果你要求使用密码,则用户在运行Docker命令时需要输入密码,这将使得系统稍微安全一点。如果执行命令时输入了一次密码,则sudo将允许你在5分钟内再次运行Docker命令时不再需要输入密码。

紧接着,为Docker命令设置别名。

alias docker="sudo /usr/bin/docker"

现在,非root用户将被允许直接执行Docker命令(译者注:不需要使用sudo),并且记录了日志。

docker run -ti --privileged -v /:/host fedora chroot /host

查看journal日志或者/var/log信息:

journalctl -b | grep docker.*privileged
Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]:   dwalsh : TTY=pts/3 ; PWD=/home/dwalsh/docker/src/github.com/docker/docker ; USER=root ; COMMAND=/usr/bin/docker run -ti --privileged -v /:/host fedora chroot /host

查看审计日志:

ausearch -m USER_ROLE_CHANGE -i
type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success'

更强的安全性

如果你打算只允许用户访问一个特定的容器,你可以写一个简单的脚本:

cat /usr/bin/docker-fedora
#!/bin/sh
docker run -ti --rm fedora /bin/sh

写好脚本之后,配置sudoers:

grep dwalsh /etc/sudoers
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker-fedora

这个用户将仅能在没有权限限制下运行Fedora容器。

认证

我们还在开发其它程序补丁来增强Docker Daemon安全性,其中包括认证方面。我们有一个正在讨论的问题#13697“为Docker增加kerberos支持”。

授权
结论

如果需要支持非root用户直接运行Docker命令之前,那Docker Daemon的安全性还需要很多改进。但在这些改进实现之前,设置sudo规则是最好的选择。我们正在开发更好的解决方案,暂时我们仍然强烈推荐使用sudo。

DockOne

DockOne,新圈子,新思路,新视野。


以上是关于CentOS说 | 为什么我们不允许非root用户直接运行Docker命令?的主要内容,如果未能解决你的问题,请参考以下文章

linux,centos,redhat 中SUID,SGID ,Sticky Bit权限作用是什么

CentOS7,从一般用户切换到root用户

Centos7 禁用本地root用户和禁止root远程登录

非root用户在centos上的python2.7

允许非 root 用户处理.setuid 给某些其他用户

CentOS下配置MySQL允许root用户远程登录