Linux中國

使用 Docker 的用戶名字空間功能

用戶名字空間 User Namespaces Docker 1.10 版本正式納入其中,該功能允許主機系統將自身的 uidgid 映射為容器進程中的另一個 uidgid。這對 Docker 的安全性來說是一項巨大的改進。下面我會通過一個案例來展示一下用戶名字空間能夠解決的問題,以及如何啟用該功能。

創建一個 Docker Machine

如果你已經創建好了一台用來試驗用戶名字空間的 docker 機器 Machine ,那麼可以跳過這一步。我在自己的 Macbook 上安裝了 Docker Toolbox,因此我只需用 docker-machine 命令就很簡單地創建一個基於 VirtualBox 的 Docker 機器(這裡假設主機名為 host1):

# Create host1
$ docker-machine create --driver virtualbox host1

# Login to host1
$ docker-machine ssh host1

理解在用戶名字空間未啟用的情況下,非 root 用戶能做什麼

在啟用用戶名字空間前,我們先來看一下會有什麼問題。Docker 到底哪個地方做錯了?首先,使用 Docker 的一大優勢在於用戶在容器中可以擁有 root 許可權,因此用戶可以很方便地安裝軟體包。但是在 Linux 容器技術中這也是一把雙刃劍。只要經過少許操作,非 root 用戶就能以 root 的許可權訪問主機系統中的內容,比如 /etc。下面是操作步驟。

# Run a container and mount host1's /etc onto /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu

# Make some change on /root/etc/hosts
root@34ef23438542:/# vi /root/etc/hosts

# Exit from the container
root@34ef23438542:/# exit

# Check /etc/hosts
$ cat /etc/hosts

你可以看到,步驟簡單到難以置信,很明顯 Docker 並不適用於運行在多人共享的電腦上。但是現在,通過用戶名字空間,Docker 可以避免這個問題。

啟用用戶名字空間

# Create a user called "dockremap"
$ sudo adduser dockremap

# Setup subuid and subgid
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'

然後,打開 /etc/init.d/docker,並在 /usr/local/bin/docker daemon 後面加上 --userns-remap=default,像這樣:

$ sudo vi /etc/init.d/docker

/usr/local/bin/docker daemon --userns-remap=default -D -g "$DOCKER_DIR" -H unix:// $DOCKER_HOST $EXTRA_ARGS >> "$DOCKER_LOGFILE" 2>&1 &

然後重啟 Docker:

$ sudo /etc/init.d/docker restart

這就完成了!

注意:若你使用的是 CentOS 7,則你需要了解兩件事。

  1. 內核默認並沒有啟用用戶名字空間。運行下面命令並重啟系統,可以啟用該功能。
sudo grubby --args="user_namespace.enable=1" 
    --update-kernel=/boot/vmlinuz-3.10.0-XXX.XX.X.el7.x86_64
  1. CentOS 7 使用 systemctl 來管理服務,因此你需要編輯的文件是 /usr/lib/systemd/system/docker.service

確認用戶名字空間是否正常工作

若一切都配置妥當,則你應該無法再在容器中編輯 host1 上的 /etc 了。讓我們來試一下。

# Create a container and mount host1's /etc to container's /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu

# Check the owner of files in /root/etc, which should be "nobody nogroup".
root@d5802c5e670a:/# ls -la /root/etc
total 180
drwxr-xr-x 11 nobody nogroup 1100 Mar 21 23:31 .
drwx------ 3 root root 4096 Mar 21 23:50 ..
lrwxrwxrwx 1 nobody nogroup 19 Mar 21 23:07 acpi -> /usr/local/etc/acpi
-rw-r--r-- 1 nobody nogroup 48 Mar 10 22:09 boot2docker
drwxr-xr-x 2 nobody nogroup 60 Mar 21 23:07 default

# Try creating a file in /root/etc
root@d5802c5e670a:/# touch /root/etc/test
touch: cannot touch '/root/etc/test': Permission denied

# Try deleting a file
root@d5802c5e670a:/# rm /root/etc/hostname
rm: cannot remove '/root/etc/hostname': Permission denied

好了,太棒了。這就是用戶名字空間的工作方式。

via: https://coderwall.com/p/s_ydlq/using-user-namespaces-on-docker

作者:Koji Tanaka 選題:lujun9972 譯者:lujun9972 校對:pityonline

本文由 LCTT 原創編譯,Linux中國 榮譽推出


本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive

對這篇文章感覺如何?

太棒了
0
不錯
0
愛死了
0
不太好
0
感覺很糟
0
雨落清風。心向陽

    You may also like

    Leave a reply

    您的電子郵箱地址不會被公開。 必填項已用 * 標註

    此站點使用Akismet來減少垃圾評論。了解我們如何處理您的評論數據

    More in:Linux中國