快捷導(dǎo)航

docker容器非root用戶提權(quán)的問題解決

更新時間：2022年04月21日 08:52:38 作者：字母哥哥

本文主要介紹了docker容器非root用戶提權(quán)的問題解決，文中通過示例代碼介紹的非常詳細(xì)，具有一定的參考價值，感興趣的小伙伴們可以參考一下

本系列之前的文章中使用root用戶安裝docker，并在root用戶下啟動docker守護(hù)進(jìn)程，容器也是在root用戶下啟動運(yùn)行的。那么問題就出現(xiàn)了：我們的容器服務(wù)進(jìn)程都是root用戶權(quán)限，使用數(shù)據(jù)卷的方式想掛載哪個目錄就掛載那個目錄；想修改掛載目錄下的哪個文件，就修改哪個文件。那么我們本文帶大家使用非root用戶來啟動docker容器，是否就安全了呢？我們先不說答案，讓我們一起來通過實(shí)驗(yàn)，來解答我們的疑問。

一、使用非root用戶啟動docker容器

為了提升安全性，我們考慮一種方案：使用非root用戶啟動docker容器。為此我們做一個實(shí)驗(yàn)，首先我們創(chuàng)建一個普通用戶zimug,執(zhí)行命令 useradd zimug;。并且將這個用戶加入docker用戶組，因?yàn)閐ocker用戶組的用戶才能啟動docker容器。

#zimug加入docker用戶組
usermod -G docker zimug;  
#在zimug用戶下啟動容器
docker run -d --name nginx-zimug -p  80:80  nginx;

以上的操作證明使用非root用戶啟動docker容器是可行的，但是安全性有沒有得到提升，我們還需要驗(yàn)證。

二、驗(yàn)證非root用戶啟動容器的安全性

回到docker服務(wù)所在的宿主機(jī)服務(wù)器上，使用 root 賬號將"zimug test"這樣一個字符串寫入測試文件 test.txt

mkdir -p /root/test;
echo "zimug test" > /root/test/test.txt;

然后使用su命令切換到zimug這個用戶，使用cat命令查看文件提示權(quán)限不夠無法查看文件，到此一切正常。

[root]# su - zimug;
[zimug]$ cat  /root/test/test.txt;
cat: /root/test/test.txt: 權(quán)限不夠

然后我們在zimug用戶下啟動一個容器nginx-zimug1，需要記住非常重要的一點(diǎn)是：這個容器我們是在非root用戶zimug下啟動的。

[zimug]$ docker run -d --name nginx-zimug1 \
 -p  81:80  \
 -v /root/test/test.txt:/root/test/test.txt nginx;

然后我們進(jìn)入容器內(nèi)部修改/root/test/test.txt這個文件，向文件內(nèi)echo寫入一個字符串：“zimug test update file in container”,表示這個文件我們在容器內(nèi)部進(jìn)行修改。

# 進(jìn)入容器內(nèi)部
[zimug]$ docker exec -it nginx-zimug1 /bin/bash
# 進(jìn)入容器后使用下面的命令修改文件，然后exit退出
echo "zimug test update file in container" > /root/test/test.txt;

回到宿主機(jī)上使用 root 賬號確認(rèn) /root/test/test.txt 文件內(nèi)容。發(fā)生了我們不愿見到的結(jié)果：普通用戶zimug啟動一個容器，可以隨意映射root用戶文件，并且在容器內(nèi)修改這個文件，root用戶的文件內(nèi)容也隨之更改。

# cat /root/test/test.txt
zimug test update file in container

之所以出現(xiàn)這個問題，有兩個原因：一是docker容器本質(zhì)是宿主機(jī)服務(wù)器上的一個進(jìn)程，不做特殊處理的情況下，容器里的root用戶和宿主機(jī)上的root用戶實(shí)際上是同一個用戶；二是docker存在一個守護(hù)進(jìn)程,即使用systemctl start docker啟動的那個服務(wù)進(jìn)程。因?yàn)槲覀儼惭bdocker是root用戶安裝的，該守護(hù)進(jìn)程也是用root用戶啟動的，即使容器是非root用戶運(yùn)行的也存在較大的安全問題，是docker安全性問題的重要風(fēng)險(xiǎn)點(diǎn)。
解決這個問題有兩個通用方法：就是容器用戶與宿主機(jī)用戶的id段映射；二是使用非root用戶搭建docker并啟動守護(hù)進(jìn)程。

到此這篇關(guān)于docker容器非root用戶提權(quán)的問題解決的文章就介紹到這了,更多相關(guān)docker 非root用戶提權(quán)內(nèi)容請搜索腳本之家以前的文章或繼續(xù)瀏覽下面的相關(guān)文章希望大家以后多多支持腳本之家！

您可能感興趣的文章: