如何运行没有Root权限的Docker?干货来了!
云栖号资讯:【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯,还在等什么,快来!
在本文中,我们讨论了如何在没有root权限的情况下运行Docker,以便更好地管理容器中的安全性。
Docker作为Root用户
Docker以root用户身份运行其容器。但是你的工作负载真的需要root权限吗?答案是很少需要。尽管如此,默认情况下,你的容器仍将以root用户身份运行。这可能会带来严重的安全问题。实际上,以root用户身份在容器内部运行的进程实际上是在主机本身上以root用户身份运行的进程。这给恶意尝试获得对主机本身的不受限制的访问提供了机会。
你可以自己检查它,只需在常用的任何图像上使用以下命令:
显然,作为一种最佳实践,我们应该避免以超root用户身份运行容器。因此,我们如何解决此问题,让我们看看如何以非root用户身份运行容器。
将非超级用户添加到Dockerfile
创建一个仅具有容器内工作负载所需权限的用户。你可以在容器图像本身的Dockerfile中使用RUN命令创建用户。
上面的代码行创建了一个用户newuser以及该用户的home和shell。现在,只需将用户添加到Dockerfile中,如以下示例所示:
从第7行(USER newuser)开始,每个命令都以newuser而不是root身份运行。这样做很简单,对不对?
但是,我们并不总是仅使用自定义的图像。我们还使用了许多第三方图像,因此我们无法像上面那样将非root用户注入到这些图像中。
默认情况下,这些第三方Docker图像将以root用户身份运行,除非我们对其进行处理。如果你使用的图像来自一个不太流行的源 ,那么该图像甚至可能嵌入了恶意命令,这可能会损害集群的安全性。
Kubernetes Pod安全上下文和Pod安全策略可以为我们提供帮助。
使用Pod安全上下文
你可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。要为Pod指定这些安全设置,请在Pod规范中添加securityContext字段。
YAML
在以上规范中,runAsUser指定pod内的任何容器仅使用userID 5000运行。这是我们专门为非root用户创建的用户。 runAsGroup指定所有进程的群组ID。如果我们不提及这一点,则群组ID将是root(0)。
现在,你可以创建此pod并检查容器中运行的进程:
如上所示,PID 1正在以userID 5000而不是root用户身份运行的。
使用Kubernetes Pod安全策略
Kubernetes Pod安全策略定义了Pod必须运行的条件, 否则,它不会在集群中提供。换句话说,如果不满足这些条件,Kubernetes将阻止Pod运行。
下面给出了一个示例PodSecurityPolicy:
该安全策略实现以下目的:
限制容器在权限模式下运行。
限制需要root的容器。
限制访问除NFS卷以外的esvolumes的容器。
仅允许容器访问主机端口100。
激活策略:
检查策略:
Shell$ kubectl get pspNAME PRIV RUNASUSER FSGROUP SELINUX VOLUMESMy-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]
现在已经创建了策略,你可以通过尝试以root权限运行容器来对其进行测试。
pod安全策略将禁止其运行并给出一个错误消息:
结论
在这篇文章中,我们强调了在root用户的默认设置下运行Docker容器的固有风险。我们还提出了多种方法来克服这种风险。
如果你正在运行自定义图像,那么可以创建一个新的非root用户并在Dockerfile中指定它。
如果使用的是第三方图像,则可以在Pod或容器级别设置安全上下文。
还有一种方法是创建一个Pod安全策略,该策略将不允许任何容器以root权限运行。
【云栖号在线课堂】每天都有产品技术专家分享!
课程地址:https://yqh.aliyun.com/zhibo立即加入社群,与专家面对面,及时了解课程最新动态!
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK
原文发布时间:2020-03-23
本文作者: Vaibhav Raizada
本文来自:“CSDN云计算”,了解相关信息可以关注“CSDN云计算”
低调大师中文资讯倾力打造互联网数据资讯、行业资源、电子商务、移动互联网、网络营销平台。
持续更新报道IT业界、互联网、市场资讯、驱动更新,是最及时权威的产业资讯及硬件资讯报道平台。
转载内容版权归作者及来源网站所有,本站原创内容转载请注明来源。
- 上一篇
Novel 1.3.1 发布
Novel v1.3.1 已发布,更新日志: 修复当用户再次打开菜单时,数据不自动更新问题 去除表单验证时的加载动画 修复编辑信息不能正常清空 关闭对话框事件进行优化 修复点击头像下拉框外面时的鼠标样式 修复datatable排序图标换行问题 优化Axios请求,添加消息框显示控制参数 显示loading动画参数从view调至api中 升级e-icon-picker到最新版本,修复图标选择器在ie下不能正常使用问题 将vue-cropper组件替换为最新版本 调整登录界面验证码的获取时间,避免用户等待 修复刷新页面时,路由不能正常被激活的问题 修复新增定时任务时出现的任务id错误 修改验证码异常,重新对异常进行处理 添加Ip2Region查找ip工具 其他优化 Novel简介 一直想做一款后台管理系统,看了很多优秀的开源项目,从中发现了若依开源框架,从她出现以来就一直关注,但发现其中的功能太过强大,部分功能也不太适合自己,并且自己也一直想要动手学习一下若依的强大之处,便有了自己现在的novel。 它可以用于所有的Web应用程序,如网站管理后台,网站会员中心,CMS,CRM,OA等等,当...
- 下一篇
【云栖号案例 | 游戏&娱乐】PolarDB助力心动网络为千万级用户在线手游保驾护航
云栖号案例库:【点击查看更多上云案例】不知道怎么上云?看云栖号案例库,了解不同行业不同发展阶段的上云方案,助力你上云决策! 公司介绍 心动网络,国内极具知名度的游戏公司,中国互联网百强企业。旗下业务涉及游戏研发运营、动画制作、偶像娱乐等多个产业。公司创立于2002年,前身为中国最早的互联网分享网站之一的VeryCD。2009年起,公司开始打造心动网络的自主品牌,致力于网页及移动客户端游戏的研发与运营。 业务痛点 为支持游戏业务快速出海,游戏发行和TAPTAP游戏社区全球化运营与交付,需要支撑全球化业务的统一部署。特别是东南亚人口密度较大的地区需要提供低延迟、高稳定的云服务。 客户服务于国内、东南亚和欧美等地人口大国时,在活动峰值时需要支撑100万级玩家同时在线的高并发压力。 游戏运维发布、游戏服务端软/硬件故障导致服务端重启,需要数据库支撑更快的数据读取能力,以实现业务的快速恢复。 解决方案 心动网络采用PolarDB分布式云原生数据库方案构建了全部业务系统: PolarDB支持处理海量大数据,同时具备高并发、高可用和很强的弹性伸缩能力。 PolarDB特有的高性能读能力,有效支撑游戏...
相关文章
文章评论
共有0条评论来说两句吧...
文章二维码
点击排行
推荐阅读
最新文章
- Eclipse初始化配置,告别卡顿、闪退、编译时间过长
- SpringBoot2整合MyBatis,连接MySql数据库做增删改查操作
- SpringBoot2整合Redis,开启缓存,提高访问速度
- SpringBoot2整合Thymeleaf,官方推荐html解决方案
- CentOS8编译安装MySQL8.0.19
- Docker使用Oracle官方镜像安装(12C,18C,19C)
- CentOS7,8上快速安装Gitea,搭建Git服务器
- Docker安装Oracle12C,快速搭建Oracle学习环境
- Springboot2将连接池hikari替换为druid,体验最强大的数据库连接池
- Windows10,CentOS7,CentOS8安装Nodejs环境