你不应该在容器中使用root用户

你不应该使用root用户在容器中启动程序,或者类似的特权用户,你应该在Dockerfile中创建一个普通用户,并且制定一个特别的uid和gid,然后用这个账户来启动进程,这样更加容易限制容器访问资源的权限。

预览

根据Linux的最低权限原则,一个程序应该只能访问他运行所必须的资源。这是一件非常严肃的事情。运行在系统上可能是一个病毒也可能是一个包含bug的程序,会对他能访问到的资源造成破坏。为了保证系统的安全稳定,你应该限制应用能够访问的资源和能够获取的权限。

许多容器化的程序并不要求使用root权限,docker本身也不要求使用root权限,所以编写一个安全和服用的镜像,不能期望容器将来会使用root权限运行,为了易于控制权限,你也不应该在镜像中使用root。

为什么

在使用Docker的时候,你需要清楚,容器中的进程和宿主机器上的其进程是没有区别的,他们使用的是同一个内核,受同一个内核管理权限,如果说容器中的进程是root权限,那么也就意味这这个进程在宿主机器上其实也是root权限。如果资源被挂载到容器中,那么意味着容器中的进程能够获取,修改,删除这些资源,因为它是root权限。

如果你要创建一个镜像,那么你就应该在Dockerfile中创建一个默认的用户,而不是使用默认的root。这样更加容器控制权限。我们举一个root容器的例子,看一下他的危害:

我在宿主机器的root目录下创建一个隐私文件,我使用root用户创建,只有root权限的用户才能访问这个文件

marc@srv:~$ sudo -s
root@srv:~# cd /root
root@srv:~# echo "top secret stuff" >> ./secrets.txt 
root@srv:~# chmod 0600 secrets.txt
root@srv:/root# ls -l
total 4
-rw------- 1 root root 17 Sep 26 20:29 secrets.txt
root@srv:/root# exit
exit
marc@srv:~$ cat /root/secrets.txt
cat: /root/secrets.txt: Permission denied

现在我退出root,使用一个普通的用户来创建一个Dockerfile:

FROM debian:stretch
CMD ["cat", "/tmp/secrets.txt"]
然后我编译运行这个镜像,并且将我们的隐私文件挂载进去:

marc@srv:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
top secret stuff

即便我在宿主机器上的容器是marc,但是在容器中,我已经拥有root权限了,能够访问宿主机上root权限才能访问的资源文件。这也就是说任何人在DockerHub上下载这镜像,都会暴露自己的特权文件(当然,还取决于你怎么它)。

建议
我建议在创建Dockerfile的时候创建一个普通用户,并且指定uid和gid。使用这个普通用户来启动容器。

FROM <base image>
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    ... <rest of Dockerfile> ...

在上面的例子,我们能够非常用户控制容器用户和用户的权限。

更具上面的例子,我修改一下Dockerfile

FROM debian:stretch
RUN groupadd -g 999 appuser && \
    useradd -r -u 999 -g appuser appuser
    USER appuser
    CMD ["cat", "/tmp/secrets.txt"]

再次上之前那样运行容器

marc@srv:~$ docker run -v /root/secrets.txt:/tmp/secrets.txt <img>
cat: /tmp/secrets.txt: Permission denied

这次隐私文件得到了保护。

复用其他容器

Docker容器非常有好的地方是他可以能够复用,你能够使用FROM来使用一个已经存在的容器。你能够创建你自己的用户,或者是root用户(前提是你确实需要root用户)。如果某些镜像中默认使用了root用户,你可以在自己的Dockerfile中覆盖这个设置,使用你自己的创建的用户。

添加新评论