Início / server / Perguntas / 806811
Accepted
Vad1mo
Asked: 2016-10-04 08:03:41 +0800 CST

Como impedir que o Docker Daemon monte o sistema de arquivos raiz do host no contêiner

  • 772

Eu tenho a seguinte configuração de contêiner.

Em um servidor bare metal, dois Docker Daemons são instalados e executados.

  1. Main Docker Daemon Executa meus contêineres de aplicativos expondo 80/443 para o mundo externo.
  2. Plugin Docker Daemon Executa alguns contêineres fornecidos pelo cliente que se comunicam com meu aplicativo via 80/443.

Gostaria de dar ao cliente acesso à API (2376) do Plugin Docker Daemon para que o cliente possa implantar/iniciar/interromper seus próprios contêineres. O cliente só terá acesso à API e não ao Host (SSH).

O problema que enfrento atualmente é: e se os clientes executarem um contêiner que faça algo inseguro como docker run -v /:/host/root Ubuntu rm -rf /host/root.

Minha pergunta é o que posso fazer para impedir que o Plugin Docker Daemon monte root /ou qualquer outro diretório externo /home/user/,

  • É uma opção iniciar o Docker Daemon /home/user/?
  • Posso usar alguma magia LSM (Linux Security Modules SELinux/Apparmor) para impedir que o daemon do docker monte alguns ou todos os caminhos de host, exceto usuários home ou var/docker/libs?
  • Pode --userns-remapme ajudar a atingir meu objetivo?
  • Há outras opções disponíveis, exceto VMs?

O servidor pertence inteiramente a um único cliente. Portanto, segurança ou vazamento de dados não é minha principal preocupação. O que eu realmente quero evitar é que alguém no Plugin Daemon esteja fazendo algo estúpido, que influencie meus contêineres que rodam no Main Docker Daemon . Eu gostaria de me manter enxuto e manter o fluxo de trabalho apenas do docker e não vou configurar um fluxo de trabalho extra para a criação de VM.

linux chroot docker selinux apparmor

1 respostas

  1. Best Answer

    O SELinux impedirá que qualquer coisa não rotulada corretamente seja montada como um volume dentro de um contêiner docker, como prova, aqui usando um único arquivo, a mesma política se aplica aos diretórios:

    $ sestatus
SELinux status:                 enabled
SELinuxfs mount:                /sys/fs/selinux
SELinux root directory:         /etc/selinux
Loaded policy name:             targeted
Current mode:                   enforcing
Mode from config file:          enforcing
Policy MLS status:              enabled
Policy deny_unknown status:     allowed
Max kernel policy version:      30

    Usando o arquivo de exemplo:

    $ cat sample_script.sh 
echo 'Hello, world'

    Seu contexto de segurança padrão é:

    $ ls -lrtZ sample_script.sh 
-rw-------. 1 david david unconfined_u:object_r:user_home_t:s0 20 Oct  3 17:18 sample_script.sh

    A tentativa de usar este arquivo dentro de um contêiner falha conforme o esperado:

    $ docker run -v /home/david/sample_script.sh:/sample_script.sh --rm ubuntu bash sample_script.sh
bash: sample_script.sh: Permission denied

    E uma negação AVC será registrada:

    $ sudo ausearch -m avc -ts recent
time->Mon Oct  3 17:39:28 2016
type=AVC msg=audit(1475512768.444:784): avc:  denied  { read } for  pid=28720 comm="bash" name="sample_script.sh" dev="dm-13" ino=101062112 scontext=system_u:system_r:svirt_lxc_net_t:s0:c457,c992 tcontext=unconfined_u:object_r:user_home_t:s0 tclass=file permissive=0

    Depois de alterar o contexto de segurança para um, o Docker pode usar:

    $ sudo chcon -Rt svirt_sandbox_file_t sample_script.sh
$ ls -lrtZ sample_script.sh 
-rw-------. 1 david david unconfined_u:object_r:svirt_sandbox_file_t:s0 20 Oct  3 17:18 sample_script.sh

    O contêiner agora tem acesso ao arquivo:

    $ docker run -v /home/david/sample_script.sh:/sample_script.sh --rm ubuntu bash sample_script.sh
Hello, world

    Mais informações sobre Docker e SELinux na documentação oficial da Red Hat e neste artigo de Dan Walsh.

    • 8

relate perguntas