docker容器非root用户提权的问题解决

目录
  • 一、使用非root用户启动docker容器
  • 二、验证非root用户启动容器的安全性

本系列之前的文章中使用root用户安装docker,并在root用户下启动docker守护进程,容器也是在root用户下启动运行的。那么问题就出现了:我们的容器服务进程都是root用户权限,使用数据卷的方式想挂载哪个目录就挂载那个目录;想修改挂载目录下的哪个文件,就修改哪个文件。 那么我们本文带大家使用非root用户来启动docker容器,是否就安全了呢? 我们先不说答案,让我们一起来通过实验,来解答我们的疑问。

一、使用非root用户启动docker容器

为了提升安全性,我们考虑一种方案:使用非root用户启动docker容器。为此我们做一个实验,首先我们创建一个普通用户zimug,执行命令 useradd zimug;。并且将这个用户加入docker用户组,因为docker用户组的用户才能启动docker容器。

#zimug加入docker用户组
usermod -G docker zimug;
#在zimug用户下启动容器
docker run -d --name nginx-zimug -p  80:80  nginx;

以上的操作证明使用非root用户启动docker容器是可行的,但是安全性有没有得到提升,我们还需要验证。

二、验证非root用户启动容器的安全性

回到docker服务所在的宿主机服务器上,使用 root 账号将"zimug test"这样一个字符串写入测试文件 test.txt

mkdir -p /root/test;
echo "zimug test" > /root/test/test.txt;

然后使用su命令切换到zimug这个用户,使用cat命令查看文件提示权限不够无法查看文件,到此一切正常。

[root]# su - zimug;
[zimug]$ cat  /root/test/test.txt;
cat: /root/test/test.txt: 权限不够

然后我们在zimug用户下启动一个容器nginx-zimug1,需要记住非常重要的一点是:这个容器我们是在非root用户zimug下启动的。

[zimug]$ docker run -d --name nginx-zimug1 \
 -p  81:80  \
 -v /root/test/test.txt:/root/test/test.txt nginx;

然后我们进入容器内部修改/root/test/test.txt这个文件,向文件内echo写入一个字符串:“zimug test update file in container”,表示这个文件我们在容器内部进行修改。

# 进入容器内部
[zimug]$ docker exec -it nginx-zimug1 /bin/bash
# 进入容器后使用下面的命令修改文件,然后exit退出
echo "zimug test update file in container" > /root/test/test.txt;

回到宿主机上使用 root 账号确认 /root/test/test.txt 文件内容。发生了我们不愿见到的结果:普通用户zimug启动一个容器,可以随意映射root用户文件,并且在容器内修改这个文件,root用户的文件内容也随之更改。

# cat /root/test/test.txt
zimug test update file in container

之所以出现这个问题,有两个原因:一是docker容器本质是宿主机服务器上的一个进程,不做特殊处理的情况下,容器里的root用户和宿主机上的root用户实际上是同一个用户;二是docker存在一个守护进程,即使用systemctl start docker启动的那个服务进程。因为我们安装docker是root用户安装的,该守护进程也是用root用户启动的,即使容器是非root用户运行的也存在较大的安全问题,是docker安全性问题的重要风险点。
解决这个问题有两个通用方法:就是容器用户与宿主机用户的id段映射;二是使用非root用户搭建docker并启动守护进程。

到此这篇关于docker容器非root用户提权的问题解决的文章就介绍到这了,更多相关docker 非root用户提权内容请搜索我们以前的文章或继续浏览下面的相关文章希望大家以后多多支持我们!

(0)

相关推荐

  • 在docker容器中使用非root用户执行脚本操作

    应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器中的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用非root的业务用户来运行应用呢, 下面我将举一个简单的例子来说明. 该例子是在容器中使用自建的用户来运行一个简单的shell脚本,并将脚本输出日志持久到容器外部.接下来让我们来看从制作镜像到容器运行的全过程吧. 1.构建镜像: 我将会使用dockerfile的方式来构建镜像,基础镜像使用ubuntu 14.04(需要先拉取该镜像,do

  • docker容器非root用户提权的问题解决

    目录 一.使用非root用户启动docker容器 二.验证非root用户启动容器的安全性 本系列之前的文章中使用root用户安装docker,并在root用户下启动docker守护进程,容器也是在root用户下启动运行的.那么问题就出现了:我们的容器服务进程都是root用户权限,使用数据卷的方式想挂载哪个目录就挂载那个目录:想修改挂载目录下的哪个文件,就修改哪个文件. 那么我们本文带大家使用非root用户来启动docker容器,是否就安全了呢? 我们先不说答案,让我们一起来通过实验,来解答我们的

  • linux下非root用户运行tomcat

    # 前言:为什么要使用非root用户运行tomcat root用户启动tomcat有一个严重的问题,那就是tomcat具有root权限. 这意味着你的任何一个页面脚本(html/js)都具有root权限,所以可以轻易地用页面脚本 修改整个硬盘里的文件! 所以最好不要使用root启动tomcat. # 正文:非root用户运行tomcat ## tomcat安装 略... 本文安装目录为 /opt/tomcat8 ## 创建用户 # 创建用户组 dev groupadd dev # 创建用户 to

  • 如何隔离docker容器中的用户的方法

    笔者在前文<理解 docker 容器中的 uid 和 gid>介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户和容器中的用户.如果你已经了解了 Linux 的 user namespace 技术(参考<Linux Namespace : User>),那么自然会问:docker 为什么不利用 Linux user namespace 实现用户的隔离呢?事实上,docker 已经实现了相关的功能,只是默认没有启用而已.笔者将在

  • docker容器中切换用户,提示权限不足的解决

    docker容器中切换用户,提示权限不足: 解决办法: 启动容器是使用特权启动: docker run -i -t --privileged -v /home/dora:/home/dora centos_ora /bin/bash 补充知识:linux下docker使用普通权限运行 linux下安装docker默认会安装为名为docker的用户才能运行的权限,使用时需要切换用户,很不方便 为了直接使用命令,需要将当前用户加入docker组 sudo usermod -aG docker you

  • docker容器里面的root权限获取方法

    首先你的container得正在运行 可通过sudo docker container ls或者sudo docker ps查看容器的CONTAINER ID 最后执行命令(其中7509371edd48 为上面查到的CONTAINER ID) sudo docker exec -ti -u root 7509371edd48 bash 补充:解决非root用户没有权限运行docker命令的问题 问题描述: "Got permission denied while trying to connec

  • Docker容器的应用中,10个要不得的坏习惯

    毋庸置疑,容器已经成为企业IT基础设施中必不可少的部分,它具有许多的优点,比如: 第一:容器是不可变的--操作系统,库版本,配置,文件夹和应用程序都包装在容器内.你保证在质量检查中测试过的同一镜像将以相同的行为到达生产环境. 第二:容器很轻--容器的内存占用量很小.容器将只为主要进程分配内存,而不是数百或数千MB. 第三:容器非常快--可以像启动典型Linux进程一样快地启动容器.你可以在几秒钟内启动一个新容器,而不是几分钟. 但是,许多用户仍然像对待典型虚拟机一样对待容器,而忘记了容器具有重要

  • Docker容器应用中,10个要不得的坏习惯

    毋庸置疑,容器已经成为企业IT基础设施中必不可少的部分,它具有许多的优点,比如: 第一:容器是不可变的--操作系统,库版本,配置,文件夹和应用程序都包装在容器内.你保证在质量检查中测试过的同一镜像将以相同的行为到达生产环境. 第二:容器很轻--容器的内存占用量很小.容器将只为主要进程分配内存,而不是数百或数千MB. 第三:容器非常快--可以像启动典型Linux进程一样快地启动容器.你可以在几秒钟内启动一个新容器,而不是几分钟. 但是,许多用户仍然像对待典型虚拟机一样对待容器,而忘记了容器具有重要

  • docker容器从入门到痴迷(推荐)

    docker容器从入门到痴迷(推荐)

    1. docker 是什么 大家都知道虚拟机吧,windows 上装个 linux 虚拟机是大部分程序员的常用方案.公司生产环境大多也是虚拟机,虚拟机将物理硬件资源虚拟化,按需分配和使用,虚拟机使用起来和真实操作系统一模一样,当废弃不用时直接删除虚拟机文件即可回收资源,很方便集中管理. 由于虚拟机非常庞大,同时对硬件资源的消耗也大,linux 发展出了另一种虚拟化技术,即 linux 容器(Linux Containers,缩写为 LXC),它并不像虚拟机那样模拟一个完整的操作系统,却提供虚拟机

  • Docker 容器操作退出后进入解决办法

    在我们对Docker容器操作的时候,有时候会误操作或者其他的原因无意间退出了正在操作的容器,也许你会担忧你在其中的一些操作未保存下来,无须担忧,本文中将会提供各种方法供你参考(我的建议使用最后一种).在本文,我们将讨论五种(4+1)连接Docker容器并与其进行交互的方法.例子中所有的代码都可以在GitHub中找到,你可以亲自对它们进行测试. 1.nsenter 安装 nsenter 工具在 util-Linux 包2.23版本后包含. 如果系统中 util-linux 包没有该命令,可以按照下

随机推荐