容器技術最大的弱點是安全性不足,Docker也不例外。因此,如何加強Docker的安全性是每一個Docker用戶必須慎重考慮的問題。這篇文章介紹了不用sudo而直接運行Docker命令所存在的安全漏洞,並強烈建議通過設置sudo規則作爲暫時的解決方法。
我經常會收到用戶反饋的Bug,他們問我們『爲什麼默認情況下不能使用非root用戶直接運行Docker命令』。
Docker能夠將/run/docker.socket的文件訪問權限設爲660,並將其所屬的用戶組設爲docker。 這使得非root用戶只要加入docker用戶組,就無需使用sudo,或者通過su命令切換到root用戶的情況下運行Docker命令。這聽起來很不錯。
ls -l /var/run/docker.sock srw-rw----. 1 root docker 0 Aug 3 13:02 /var/run/docker.sock
但是,在RHEL、Fedora和CentOS上,我們更喜歡將doker.socket設置爲:
ls -l /var/run/docker.sock srw-rw----. 1 root root 0 Aug 3 13:02 /var/run/docker.sock
爲什麼呢?原因很簡單:如果用戶可以與Docker Socket通信,他們就能夠執行以下命令:
docker run -ti --privileged -v /:/host fedora chroot /host
這時用戶將擁有主機的完全控制權。這就相當於將sudoers文件修改爲以下內容(譯者注:dwalsh爲用戶名):
grep dwalsh /etc/sudoers dwalsh ALL=(ALL) NOPASSWD: ALL
這將允許(dwalsh)用戶無密碼運行所有命令,獲得主機的完全控制權。但是這有一個很大的安全漏洞。Docker命令沒有內置的審計和日誌功能,但是sudo有。
Docker目前會記錄事件,但是Docker daemon重啓時事件會消失。Docker目前沒有審計功能。
從安全性的角度,紅帽已經表達了允許非root用戶在沒有審計(auditing)和適當的日誌的情況下訪問Docker Daemon的顧慮。我們已經在PR14446實現了這些控制,它依靠了一個認證機制,但這個機制還在討論中。在我們實現了審計和日誌功能之前,我們推薦通過設置sudo規則來訪問Docker Daemon。這將允許sudo來提供審計和日誌功能。
設置sudo規則
如果你希望非root用戶能夠直接執行Docker命令,我們推薦通過設置sudo規則來實現。下面是設置Docker規則的簡單教程。
在/ect/sudoers中添加以下內容: [譯者注:使用visudo命令修改]
grep dwalsh /etc/sudoers dwalsh ALL=(ALL) NOPASSWD: /usr/bin/docker
這允許特定用戶無需密碼直接執行Docker命令。
注意:我並不推薦使用NOPASSWD,這可能會導致你的系統中的任意進程都能獲取root權限。如果你要求使用密碼,則用戶在運行Docker命令時需要輸入密碼,這將使得系統稍微安全一點。如果執行命令時輸入了一次密碼,則sudo將允許你在5分鐘內再次運行Docker命令時不再需要輸入密碼。
緊接着,爲Docker命令設置別名。
alias docker="sudo /usr/bin/docker"
現在,非root用戶將被允許直接執行Docker命令(譯者注:不需要使用sudo),並且記錄了日誌。
docker run -ti --privileged -v /:/host fedora chroot /host
查看journal日誌或者/var/log信息:
journalctl -b | grep docker.*privileged Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]: dwalsh : TTY=pts/3
查看審計日誌:
ausearch -m USER_ROLE_CHANGE -i type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success'
更強的安全性
如果你打算只允許用戶訪問一個特定的容器,你可以寫一個簡單的腳本:
cat /usr/bin/docker-fedora #!/bin/sh docker run -ti --rm fedora /bin/sh
寫好腳本之後,配置sudoers:
grep dwalsh /etc/sudoers dwalsh ALL=(ALL) NOPASSWD: /usr/bin/docker-fedora
這個用戶將僅能在沒有權限限制下運行Fedora容器。
認證
我們還在開發其它程序補丁來增強Docker Daemon安全性,其中包括認證方面。我們有一個正在討論的問題#13697“爲Docker增加kerberos支持”。
授權
我們還提議爲Docker增加授權/RBAC(基於角色的訪問控制),這樣管理員就可以控制哪些用戶可以使用哪些容器/鏡像進行哪些活動。如果你想查看這個提議或者評論或者提出建議,提議地址爲:GitHub: rhatdan/docker-rbac。
結論
如果需要支持非root用戶直接運行Docker命令之前,那Docker Daemon的安全性還需要很多改進。但在這些改進實現之前,設置sudo規則是最好的選擇。我們正在開發更好的解決方案,暫時我們仍然強烈推薦使用sudo。