docker容器非root用戶(hù)提權(quán)的問(wèn)題怎么解決

這篇文章主要介紹“docker容器非root用戶(hù)提權(quán)的問(wèn)題怎么解決”，在日常操作中，相信很多人在docker容器非root用戶(hù)提權(quán)的問(wèn)題怎么解決問(wèn)題上存在疑惑，小編查閱了各式資料，整理出簡(jiǎn)單好用的操作方法，希望對(duì)大家解答”docker容器非root用戶(hù)提權(quán)的問(wèn)題怎么解決”的疑惑有所幫助！接下來(lái)，請(qǐng)跟著小編一起來(lái)學(xué)習(xí)吧！

一、使用非root用戶(hù)啟動(dòng)docker容器

為了提升安全性，我們考慮一種方案：使用非root用戶(hù)啟動(dòng)docker容器。為此我們做一個(gè)實(shí)驗(yàn)，首先我們創(chuàng)建一個(gè)普通用戶(hù)zimug,執(zhí)行命令 useradd zimug;。并且將這個(gè)用戶(hù)加入docker用戶(hù)組，因?yàn)閐ocker用戶(hù)組的用戶(hù)才能啟動(dòng)docker容器。

#zimug加入docker用戶(hù)組
usermod -G docker zimug;  
#在zimug用戶(hù)下啟動(dòng)容器
docker run -d --name nginx-zimug -p  80:80  nginx;

以上的操作證明使用非root用戶(hù)啟動(dòng)docker容器是可行的，但是安全性有沒(méi)有得到提升，我們還需要驗(yàn)證。

二、驗(yàn)證非root用戶(hù)啟動(dòng)容器的安全性

回到docker服務(wù)所在的宿主機(jī)服務(wù)器上，使用 root 賬號(hào)將"zimug test"這樣一個(gè)字符串寫(xiě)入測(cè)試文件 test.txt

mkdir -p /root/test;
echo "zimug test" > /root/test/test.txt;

然后使用su命令切換到zimug這個(gè)用戶(hù)，使用cat命令查看文件提示權(quán)限不夠無(wú)法查看文件，到此一切正常。

[root]# su - zimug;
[zimug]$ cat  /root/test/test.txt;
cat: /root/test/test.txt: 權(quán)限不夠

然后我們?cè)趜imug用戶(hù)下啟動(dòng)一個(gè)容器nginx-zimug1，需要記住非常重要的一點(diǎn)是：這個(gè)容器我們是在非root用戶(hù)zimug下啟動(dòng)的。

[zimug]$ docker run -d --name nginx-zimug1 \
 -p  81:80  \
 -v /root/test/test.txt:/root/test/test.txt nginx;

然后我們進(jìn)入容器內(nèi)部修改/root/test/test.txt這個(gè)文件，向文件內(nèi)echo寫(xiě)入一個(gè)字符串：“zimug test update file in container”,表示這個(gè)文件我們?cè)谌萜鲀?nèi)部進(jìn)行修改。

# 進(jìn)入容器內(nèi)部
[zimug]$ docker exec -it nginx-zimug1 /bin/bash
# 進(jìn)入容器后使用下面的命令修改文件，然后exit退出
echo "zimug test update file in container" > /root/test/test.txt;

回到宿主機(jī)上使用 root 賬號(hào)確認(rèn) /root/test/test.txt 文件內(nèi)容。發(fā)生了我們不愿見(jiàn)到的結(jié)果：普通用戶(hù)zimug啟動(dòng)一個(gè)容器，可以隨意映射root用戶(hù)文件，并且在容器內(nèi)修改這個(gè)文件，root用戶(hù)的文件內(nèi)容也隨之更改。

# cat /root/test/test.txt
zimug test update file in container

之所以出現(xiàn)這個(gè)問(wèn)題，有兩個(gè)原因：一是docker容器本質(zhì)是宿主機(jī)服務(wù)器上的一個(gè)進(jìn)程，不做特殊處理的情況下，容器里的root用戶(hù)和宿主機(jī)上的root用戶(hù)實(shí)際上是同一個(gè)用戶(hù)；二是docker存在一個(gè)守護(hù)進(jìn)程,即使用systemctl start docker啟動(dòng)的那個(gè)服務(wù)進(jìn)程。因?yàn)槲覀儼惭bdocker是root用戶(hù)安裝的，該守護(hù)進(jìn)程也是用root用戶(hù)啟動(dòng)的，即使容器是非root用戶(hù)運(yùn)行的也存在較大的安全問(wèn)題，是docker安全性問(wèn)題的重要風(fēng)險(xiǎn)點(diǎn)。
解決這個(gè)問(wèn)題有兩個(gè)通用方法：就是容器用戶(hù)與宿主機(jī)用戶(hù)的id段映射；二是使用非root用戶(hù)搭建docker并啟動(dòng)守護(hù)進(jìn)程。

到此，關(guān)于“docker容器非root用戶(hù)提權(quán)的問(wèn)題怎么解決”的學(xué)習(xí)就結(jié)束了，希望能夠解決大家的疑惑。理論與實(shí)踐的搭配能更好的幫助大家學(xué)習(xí)，快去試試吧！若想繼續(xù)學(xué)習(xí)更多相關(guān)知識(shí)，請(qǐng)繼續(xù)關(guān)注億速云網(wǎng)站，小編會(huì)繼續(xù)努力為大家?guī)?lái)更多實(shí)用的文章！