使用 Docker 的用戶名字空間功能

用戶名字空間 User Namespaces 於 Docker 1.10 版本正式納入其中，該功能允許主機系統將自身的 uid 和 gid 映射為容器進程中的另一個 uid 和 gid。這對 Docker 的安全性來說是一項巨大的改進。下面我會通過一個案例來展示一下用戶名字空間能夠解決的問題，以及如何啟用該功能。

創建一個 Docker Machine

如果你已經創建好了一台用來試驗用戶名字空間的 docker 機器 Machine ，那麼可以跳過這一步。我在自己的 Macbook 上安裝了 Docker Toolbox，因此我只需用 docker-machine 命令就很簡單地創建一個基於 VirtualBox 的 Docker 機器（這裡假設主機名為 host1）：

# Create host1
$ docker-machine create --driver virtualbox host1

# Login to host1
$ docker-machine ssh host1

理解在用戶名字空間未啟用的情況下，非 root 用戶能做什麼

在啟用用戶名字空間前，我們先來看一下會有什麼問題。Docker 到底哪個地方做錯了？首先，使用 Docker 的一大優勢在於用戶在容器中可以擁有 root 許可權，因此用戶可以很方便地安裝軟體包。但是在 Linux 容器技術中這也是一把雙刃劍。只要經過少許操作，非 root 用戶就能以 root 的許可權訪問主機系統中的內容，比如 /etc。下面是操作步驟。

# Run a container and mount host1's /etc onto /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu

# Make some change on /root/etc/hosts
root@34ef23438542:/# vi /root/etc/hosts

# Exit from the container
root@34ef23438542:/# exit

# Check /etc/hosts
$ cat /etc/hosts

你可以看到，步驟簡單到難以置信，很明顯 Docker 並不適用於運行在多人共享的電腦上。但是現在，通過用戶名字空間，Docker 可以避免這個問題。

啟用用戶名字空間

# Create a user called "dockremap"
$ sudo adduser dockremap

# Setup subuid and subgid
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'

然後，打開 /etc/init.d/docker，並在 /usr/local/bin/docker daemon 後面加上 --userns-remap=default，像這樣：

$ sudo vi /etc/init.d/docker

/usr/local/bin/docker daemon --userns-remap=default -D -g "$DOCKER_DIR" -H unix:// $DOCKER_HOST $EXTRA_ARGS >> "$DOCKER_LOGFILE" 2>&1 &

然後重啟 Docker：

$ sudo /etc/init.d/docker restart

這就完成了！

注意：若你使用的是 CentOS 7，則你需要了解兩件事。

1. 內核默認並沒有啟用用戶名字空間。運行下面命令並重啟系統，可以啟用該功能。

sudo grubby --args="user_namespace.enable=1" 
    --update-kernel=/boot/vmlinuz-3.10.0-XXX.XX.X.el7.x86_64

2. CentOS 7 使用 systemctl 來管理服務，因此你需要編輯的文件是 /usr/lib/systemd/system/docker.service。

確認用戶名字空間是否正常工作

若一切都配置妥當，則你應該無法再在容器中編輯 host1 上的 /etc 了。讓我們來試一下。

# Create a container and mount host1's /etc to container's /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu

# Check the owner of files in /root/etc, which should be "nobody nogroup".
root@d5802c5e670a:/# ls -la /root/etc
total 180
drwxr-xr-x 11 nobody nogroup 1100 Mar 21 23:31 .
drwx------ 3 root root 4096 Mar 21 23:50 ..
lrwxrwxrwx 1 nobody nogroup 19 Mar 21 23:07 acpi -> /usr/local/etc/acpi
-rw-r--r-- 1 nobody nogroup 48 Mar 10 22:09 boot2docker
drwxr-xr-x 2 nobody nogroup 60 Mar 21 23:07 default

# Try creating a file in /root/etc
root@d5802c5e670a:/# touch /root/etc/test
touch: cannot touch '/root/etc/test': Permission denied

# Try deleting a file
root@d5802c5e670a:/# rm /root/etc/hostname
rm: cannot remove '/root/etc/hostname': Permission denied

好了，太棒了。這就是用戶名字空間的工作方式。

via: https://coderwall.com/p/s_ydlq/using-user-namespaces-on-docker

作者：Koji Tanaka 選題：lujun9972 譯者：lujun9972 校對：pityonline

本文由 LCTT 原創編譯，Linux中國 榮譽推出

本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive