容器技術(shù)***的弱點是安全性不足，Docker也不例外。因此，如何加強Docker的安全性是每一個Docker用戶必須慎重考慮的問題。這篇文章介紹了不用sudo而直接運行Docker命令所存在的安全漏洞，并強烈建議通過設(shè)置sudo規(guī)則作為暫時的解決方法。

[[145457]]

我經(jīng)常會收到用戶反饋的Bug，他們問我們『為什么默認情況下不能使用非root用戶直接運行Docker命令』。

Docker能夠?qū)?run/docker.socket的文件訪問權(quán)限設(shè)為660，并將其所屬的用戶組設(shè)為docker。 這使得非root用戶只要加入docker用戶組，就無需使用sudo，或者通過su命令切換到root用戶的情況下運行Docker命令。這聽起來很不錯。

ls -l /var/run/docker.sock  
srw-rw----. 1 root docker 0 Aug  3 13:02 /var/run/docker.sock 

但是，在RHEL、Fedora和CentOS上，我們更喜歡將doker.socket設(shè)置為:

ls -l /var/run/docker.sock  
srw-rw----. 1 root root 0 Aug  3 13:02 /var/run/docker.sock 

為什么呢?原因很簡單：如果用戶可以與Docker Socket通信，他們就能夠執(zhí)行以下命令:

docker run -ti --privileged -v /:/host fedora chroot /host 

這時用戶將擁有主機的完全控制權(quán)。這就相當于將sudoers文件修改為以下內(nèi)容(譯者注：dwalsh為用戶名)：

grep dwalsh /etc/sudoers 
dwalsh  ALL=(ALL)   NOPASSWD: ALL 

這將允許(dwalsh)用戶無密碼運行所有命令，獲得主機的完全控制權(quán)。但是這有一個很大的安全漏洞。Docker命令沒有內(nèi)置的審計和日志功能，但是sudo有。

Docker目前會記錄事件，但是Docker daemon重啟時事件會消失。Docker目前沒有審計功能。

從安全性的角度，紅帽已經(jīng)表達了允許非root用戶在沒有審計(auditing)和適當?shù)娜罩镜那闆r下訪問Docker Daemon的顧慮。我們已經(jīng)在PR14446實現(xiàn)了這些控制，它依靠了一個認證機制，但這個機制還在討論中。在我們實現(xiàn)了審計和日志功能之前，我們推薦通過設(shè)置sudo規(guī)則來訪問Docker Daemon。這將允許sudo來提供審計和日志功能。

設(shè)置sudo規(guī)則

如果你希望非root用戶能夠直接執(zhí)行Docker命令，我們推薦通過設(shè)置sudo規(guī)則來實現(xiàn)。下面是設(shè)置Docker規(guī)則的簡單教程。

在/ect/sudoers中添加以下內(nèi)容: [譯者注：使用visudo命令修改]

grep dwalsh /etc/sudoers 
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker 

這允許特定用戶無需密碼直接執(zhí)行Docker命令。

注意：我并不推薦使用NOPASSWD，這可能會導(dǎo)致你的系統(tǒng)中的任意進程都能獲取root權(quán)限。如果你要求使用密碼，則用戶在運行Docker命令時需要輸入密碼，這將使得系統(tǒng)稍微安全一點。如果執(zhí)行命令時輸入了一次密碼，則sudo將允許你在5分鐘內(nèi)再次運行Docker命令時不再需要輸入密碼。

緊接著，為Docker命令設(shè)置別名。

alias docker="sudo /usr/bin/docker" 

現(xiàn)在，非root用戶將被允許直接執(zhí)行Docker命令(譯者注：不需要使用sudo)，并且記錄了日志。

docker run -ti --privileged -v /:/host fedora chroot /host 

查看journal日志或者/var/log信息：

journalctl -b | grep docker.*privileged 
Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]:   dwalsh : TTY=pts/3  

查看審計日志：

ausearch -m USER_ROLE_CHANGE -i 
type=USER_ROLE_CHANGE msg=audit(08/04/2015 09:02:56.514:1460) : pid=23423 uid=root auid=dwalsh ses=1 subj=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 msg='newrole: old-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 
new-context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023 exe=/usr/bin/sudo hostname=? addr=? terminal=/dev/pts/3 res=success' 

#p#

更強的安全性

如果你打算只允許用戶訪問一個特定的容器，你可以寫一個簡單的腳本:

cat /usr/bin/docker-fedora 
#!/bin/sh 
docker run -ti --rm fedora /bin/sh 

寫好腳本之后，配置sudoers：

grep dwalsh /etc/sudoers 
dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker-fedora 

這個用戶將僅能在沒有權(quán)限限制下運行Fedora容器。

認證

我們還在開發(fā)其它程序補丁來增強Docker Daemon安全性，其中包括認證方面。我們有一個正在討論的問題#13697“為Docker增加kerberos支持”。

授權(quán)

我們還提議為Docker增加授權(quán)/RBAC(基于角色的訪問控制)，這樣管理員就可以控制哪些用戶可以使用哪些容器/鏡像進行哪些活動。如果你想查看這個提議或者評論或者提出建議，提議地址為：GitHub: rhatdan/docker-rbac。

結(jié)論

如果需要支持非root用戶直接運行Docker命令之前，那Docker Daemon的安全性還需要很多改進。但在這些改進實現(xiàn)之前，設(shè)置sudo規(guī)則是***的選擇。我們正在開發(fā)更好的解決方案，暫時我們?nèi)匀粡娏彝扑]使用sudo。

原文鏈接：dockone.io/article/589