默認情況下,容器中的進程以 root 用戶權限運行,並且這個 root 用戶和宿主機中的 root 是同一個用戶。聽起來是不是很可怕,因爲這就意味着一旦容器中的進程有了適當的機會,它就可以控制宿主機上的一切!本文我們將嘗試瞭解用戶名、組名、用戶 id(uid)和組 id(gid)如何在容器內的進程和主機系統之間映射,這對於系統的安全來說是非常重要的。
說明:本文的演示環境爲 ubuntu 16.04 (下圖來自互聯網)。
先來了解下 uid 和 gid
uid 和 gid 由 Linux 內核負責管理,並通過內核級別的系統調用來決定是否應該爲某個請求授予特權。比如當進程試圖寫入文件時,內核會檢查創建進程的 uid 和 gid,以確定它是否有足夠的權限修改文件。注意,內核使用的是 uid 和 gid,而不是用戶名和組名。簡單起見,本文中剩下的部分只拿 uid 進行舉例,系統對待 gid 的方式和 uid 基本相同。
很多同學簡單地把 docker 容器理解爲輕量的虛擬機,雖然這簡化了理解容器技術的難度但是也容易帶來很多的誤解。事實上,與虛擬機技術不同:同一主機上運行的所有容器共享同一個內核(主機的內核)。容器化帶來的巨大價值在於所有這些獨立的容器(其實是進程)可以共享一個內核。這意味着即使由成百上千的容器運行在 docker 宿主機上,但內核控制的 uid 和 gid 則仍然只有一套。所以同一個 uid 在宿主機和容器中代表的是同一個用戶(即便在不同的地方顯示了不同的用戶名)。注意,由於普通的用來顯示用戶名的 Linux 工具並不屬於內核(比如 id 等命令),所以我們可能會看到同一個 uid 在不同的容器中顯示爲不同的用戶名。但是對於相同的 uid 不能有不同的特權,即使在不同的容器中也是如此。
如果你已經瞭解了 Linux 的 user namespace 技術,參考《Linux Namespace :User》,你需要注意的是到目前爲止,docker 默認並沒有啓用 user namesapce,這也是本文討論的情況。筆者會在接下來的文章中介紹如何配置 docker 啓用 user namespace。
容器中默認使用 root 用戶
如果不做相關的設置,容器中的進程默認以 root 用戶權限啓動,下面的 demo 使用 ubuntu 鏡像運行 sleep 程序:
$ docker run -d --name sleepme ubuntu sleep infinity
注意上面的命令中並沒有使用 sudo。筆者在宿主機中的登錄用戶是 nick,uid 爲 1000:
那麼,容器內的 root 用戶和宿主機上的 root 用戶是同一個嗎?答案是:是的,它們對應的是同一個 uid。原因我們在前面已經解釋過了:整個系統共享同一個內核,而內核只管理一套 uid 和 gid。
其實我們可以通過數據捲來簡單的驗證上面的結論。在宿主機上創建一個只有 root 用戶可以讀寫的文件:
我們可以通過 Dockerfile 中的 USER 命令或者是 docker run 命令的 --user 參數指定容器中進程的用戶身份。下面我們分別來探究這兩種情況。
在 Dockerfile 中指定用戶身份
我們可以在 Dockerfile 中添加一個用戶 appuser,並使用 USER 命令指定以該用戶的身份運行程序,Dockerfile 的內容如下:
FROM ubuntuRUN useradd -r -u 1000 -g appuserUSER appuserENTRYPOINT \["sleep", "infinity"\]
編譯成名稱爲 test 的鏡像:
$ docker build -t test .
用 test 鏡像啓動一個容器:
$ docker run -d --name sleepme test
在宿主機中查看 sleep 進程的信息:
在容器中 testfile 的所有者居然變成了 appuser,當然 appuser 也就有權限讀寫該文件。
這裏到底發生了什麼?而這些又這說明了什麼?首先,宿主機系統中存在一個 uid 爲 1000 的用戶 nick。其次容器中的程序是以 appuser 的身份運行的,這是由我們通過 USER appuser 命令在 Dockerfile 程序中指定的。事實上,系統內核管理的 uid 1000 只有一個,在宿主機中它被認爲是用戶 nick,而在容器中,它則被認爲是用戶 appuser。所以有一點我們需要清楚:在容器內部,用戶 appuser 能夠獲取容器外部用戶 nick 的權利和特權。在宿主機上授予用戶 nick 或 uid 1000 的特權也將授予容器內的 appuser。
從命令行參數中自定用戶身份
我們還可以通過 docker run 命令的 --user 參數指定容器中進程的用戶身份。比如執行下面的命令:
這是個什麼情況?用戶名稱居然顯示爲 "I have noname!"!去查看 /etc/passwd 文件,裏面果然沒有 uid 爲 1000 的用戶。即便沒有用戶名稱,也絲毫不影響該用戶身份的權限,它依然可以讀寫只有 nick 用戶才能讀寫的文件,並且用戶信息也由 uid 代替了用戶名:
需要注意的是,在創建容器時通過 docker run --user指定的用戶身份會覆蓋掉 Dockerfile 中指定的值。我們重新通過 test 鏡像來運行兩個容器:
指定了 --urser 0 參數的進程顯示有效用戶爲 root,說明命令行參數 --user0 覆蓋掉了 Dockerfile 中 USER 命令的設置。
總結
從本文中的示例我們可以瞭解到,容器中運行的進程同樣具有訪問主機資源的權限(docker 默認並沒有對用戶進行隔離),當然一般情況下容器技術會把容器中進程的可見資源封鎖在容器中。但是通過我們演示的對數據卷中文件的操作可以看出,一旦容器中的進程有機會訪問到宿主機的資源,它的權限和宿主機上用戶的權限是一樣的。所以比較安全的做法是爲容器中的進程指定一個具有合適權限的用戶,而不要使用默認的 root 用戶。當然還有更好的方案,就是應用 Linux 的 user namespace 技術隔離用戶,筆者會在接下來的文章中介紹如何配置 docker 開啓 user namespace 的支持。
