如何运行没有Root权限的Docker？干货来了！

云栖号资讯：【点击查看更多行业资讯】
在这里您可以找到不同行业的第一手的上云资讯，还在等什么，快来！

在本文中，我们讨论了如何在没有root权限的情况下运行Docker，以便更好地管理容器中的安全性。

Docker作为Root用户

Docker以root用户身份运行其容器。但是你的工作负载真的需要root权限吗？答案是很少需要。尽管如此，默认情况下，你的容器仍将以root用户身份运行。这可能会带来严重的安全问题。实际上，以root用户身份在容器内部运行的进程实际上是在主机本身上以root用户身份运行的进程。这给恶意尝试获得对主机本身的不受限制的访问提供了机会。

你可以自己检查它，只需在常用的任何图像上使用以下命令：

显然，作为一种最佳实践，我们应该避免以超root用户身份运行容器。因此，我们如何解决此问题，让我们看看如何以非root用户身份运行容器。

将非超级用户添加到Dockerfile

创建一个仅具有容器内工作负载所需权限的用户。你可以在容器图像本身的Dockerfile中使用RUN命令创建用户。

上面的代码行创建了一个用户newuser以及该用户的home和shell。现在，只需将用户添加到Dockerfile中，如以下示例所示：

从第7行（USER newuser）开始，每个命令都以newuser而不是root身份运行。这样做很简单，对不对？

但是，我们并不总是仅使用自定义的图像。我们还使用了许多第三方图像，因此我们无法像上面那样将非root用户注入到这些图像中。
默认情况下，这些第三方Docker图像将以root用户身份运行，除非我们对其进行处理。如果你使用的图像来自一个不太流行的源 ，那么该图像甚至可能嵌入了恶意命令，这可能会损害集群的安全性。

Kubernetes Pod安全上下文和Pod安全策略可以为我们提供帮助。

使用Pod安全上下文

你可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。要为Pod指定这些安全设置，请在Pod规范中添加securityContext字段。
YAML

在以上规范中，runAsUser指定pod内的任何容器仅使用userID 5000运行。这是我们专门为非root用户创建的用户。 runAsGroup指定所有进程的群组ID。如果我们不提及这一点，则群组ID将是root（0）。

现在，你可以创建此pod并检查容器中运行的进程：

如上所示，PID 1正在以userID 5000而不是root用户身份运行的。

使用Kubernetes Pod安全策略

Kubernetes Pod安全策略定义了Pod必须运行的条件， 否则，它不会在集群中提供。换句话说，如果不满足这些条件，Kubernetes将阻止Pod运行。

下面给出了一个示例PodSecurityPolicy：

该安全策略实现以下目的：
限制容器在权限模式下运行。
限制需要root的容器。
限制访问除NFS卷以外的esvolumes的容器。
仅允许容器访问主机端口100。
激活策略：

检查策略：
Shell$ kubectl get pspNAME PRIV RUNASUSER FSGROUP SELINUX VOLUMESMy-psp false MustRunAsNonRoot RunAsAny RunAsAny [nfs]

现在已经创建了策略，你可以通过尝试以root权限运行容器来对其进行测试。

pod安全策略将禁止其运行并给出一个错误消息：

结论

在这篇文章中，我们强调了在root用户的默认设置下运行Docker容器的固有风险。我们还提出了多种方法来克服这种风险。

如果你正在运行自定义图像，那么可以创建一个新的非root用户并在Dockerfile中指定它。

如果使用的是第三方图像，则可以在Pod或容器级别设置安全上下文。

还有一种方法是创建一个Pod安全策略，该策略将不允许任何容器以root权限运行。

【云栖号在线课堂】每天都有产品技术专家分享！
课程地址：https://yqh.aliyun.com/zhibo

立即加入社群，与专家面对面，及时了解课程最新动态！
【云栖号在线课堂 社群】https://c.tb.cn/F3.Z8gvnK

原文发布时间：2020-03-23
本文作者： Vaibhav Raizada
本文来自：“CSDN云计算”，了解相关信息可以关注“CSDN云计算”