如何运行没有Root权限的Docker？干货来了！

作者 | Vaibhav Raizada

译者 | 天道酬勤责编 | 徐威龙

封图| CSDN 下载于视觉中国

在本文中，我们讨论了如何在没有root权限的情况下运行Docker，以便更好地管理容器中的安全性。

Docker作为Root用户

Docker以root用户身份运行其容器。但是你的工作负载真的需要root权限吗？答案是很少需要。尽管如此，默认情况下，你的容器仍将以root用户身份运行。这可能会带来严重的安全问题。实际上，以root用户身份在容器内部运行的进程实际上是在主机本身上以root用户身份运行的进程。这给恶意尝试获得对主机本身的不受限制的访问提供了机会。

你可以自己检查它，只需在常用的任何图像上使用以下命令：

Shell
$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
/ # ps aux
PID   USER     TIME  COMMAND
1   root     0:10  sh

显然，作为一种最佳实践，我们应该避免以超root用户身份运行容器。因此，我们如何解决此问题，让我们看看如何以非root用户身份运行容器。

将非超级用户添加到Dockerfile

创建一个仅具有容器内工作负载所需权限的用户。你可以在容器图像本身的Dockerfile中使用RUN命令创建用户。

Dockerfile
RUN groupadd --gid 5000 newuser \
    && useradd --home-dir /home/newuser --create-home --uid 5000 \
        --gid 5000 --shell /bin/sh --skel /dev/null newuser

上面的代码行创建了一个用户newuser以及该用户的home和shell。现在，只需将用户添加到Dockerfile中，如以下示例所示：

Dockerfile
FROM ubuntu:18.04
COPY . /myapp
RUN make /myapp
...
USER newuser
CMD python /myapp/hello.py

从第7行（USER newuser）开始，每个命令都以newuser而不是root身份运行。这样做很简单，对不对？

但是，我们并不总是仅使用自定义的图像。我们还使用了许多第三方图像，因此我们无法像上面那样将非root用户注入到这些图像中。

默认情况下，这些第三方Docker图像将以root用户身份运行，除非我们对其进行处理。如果你使用的图像来自一个不太流行的源 ，那么该图像甚至可能嵌入了恶意命令，这可能会损害集群的安全性。

Kubernetes Pod安全上下文和Pod安全策略可以为我们提供帮助。

使用Pod安全上下文

你可以使用Pod安全上下文将Pod的执行限制为特定的非root用户。要为Pod指定这些安全设置，请在Pod规范中添加securityContext字段。

YAML
apiVersion: v1
kind: Pod
metadata:
  name: my-pod
spec:
  securityContext:
    runAsUser: 5000
    runAsGroup: 5000
  volumes:
  - name: my-vol
    emptyDir: {}
  containers:
  - name: my-container
    image: hello-world
    command: ["sh", "-c", "sleep 10 m"]
    volumeMounts:
    - name: my-vol
      mountPath: /data/hello
    securityContext:
      allowPrivilegeEscalation: false

在以上规范中，runAsUser指定pod内的任何容器仅使用userID 5000运行。这是我们专门为非root用户创建的用户。  runAsGroup指定所有进程的群组ID。如果我们不提及这一点，则群组ID将是root（0）。

现在，你可以创建此pod并检查容器中运行的进程：

Shell
$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID   USER     TIME  COMMAND
  1   5000     0:00  sleep 10 m
  6   5000     0:00  sh

如上所示，PID 1正在以userID 5000而不是root用户身份运行的。

使用Kubernetes Pod安全策略

Kubernetes Pod安全策略定义了Pod必须运行的条件， 否则，它不会在集群中提供。换句话说，如果不满足这些条件，Kubernetes将阻止Pod运行。 

下面给出了一个示例PodSecurityPolicy：

YAML
apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: my-psp
spec:
  privileged: false
  #Required to prevent escalations to root.
  allowPrivilegeEscalation: false
  allowedCapabilities:
  - '*'
  volumes:
  - 'nfs'
  hostNetwork: true
  hostPorts:
  - min: 8000
    max: 8000
  hostIPC: true
  hostPID: true
  runAsUser:
    #Require the container to run without root.
    rule: 'MustRunAsNonRoot'
  seLinux:
    rule: 'RunAsAny'
  supplementalGroups:
    rule: 'RunAsAny'
  fsGroup:
    rule: 'RunAsAny'

该安全策略实现以下目的：

• 限制容器在权限模式下运行。

• 限制需要root的容器。

• 限制访问除NFS卷以外的esvolumes的容器。

• 仅允许容器访问主机端口100。

激活策略：

Shell
$ kubectl create -f my-psp.yaml

检查策略：

Shell
$ kubectl get psp
NAME    PRIV   RUNASUSER         FSGROUP   SELINUX   VOLUMES
My-psp  false  MustRunAsNonRoot  RunAsAny  RunAsAny  [nfs]

现在已经创建了策略，你可以通过尝试以root权限运行容器来对其进行测试。

Shell
$ kubectl run --image=my-root-container

pod安全策略将禁止其运行并给出一个错误消息： 

Shell
$ kubectl get pods
NAME         READY    STATUS
my-root-pod  0/1      container has runAsNonRoot and image will run as root

结论

在这篇文章中，我们强调了在root用户的默认设置下运行Docker容器的固有风险。我们还提出了多种方法来克服这种风险。

• 如果你正在运行自定义图像，那么可以创建一个新的非root用户并在Dockerfile中指定它。

• 如果使用的是第三方图像，则可以在Pod或容器级别设置安全上下文。

• 还有一种方法是创建一个Pod安全策略，该策略将不允许任何容器以root权限运行。

如果有不清楚的地方或其他意见，欢迎评论告诉我们。

原文：https://dzone.com/articles/docker-without-root-privileges

2020 AI 开发者万人大会将于6月26日通过线上直播形式，让开发者们一站式学习了解当下 AI 的前沿技术研究、核心技术与应用以及企业案例的实践经验，同时还可以在线参加精彩多样的开发者沙龙与编程项目。参与前瞻系列活动、在线直播互动，不仅可以与上万名开发者们一起交流，还有机会赢取直播专属好礼，与技术大咖连麦。

今日福利：评论区留言入选，都可获得价值299元的「2020 AI开发者万人大会」在线直播门票一张。  快来动动手指，写下你想说的话吧！

推荐阅读：破解面试难题8个角度带你解读SQL面试技巧！
GitHub 接连封杀开源项目惹众怒，CEO 亲自道歉！
5 亿微博数据疑泄露，Python 爬虫如何避免踩天坑？
我就不信 35 岁做不了程序员！
在非托管钱包中可能会出现价值3000万美元的BCH SIM 交换黑客攻击吗？
对标Pytorch，清华团队推出自研AI框架“计图”
真香，朕在看了！