使用 Docker 的用戶名字空間功能
用戶名字空間 於 Docker 1.10 版本正式納入其中,該功能允許主機系統將自身的 uid
和 gid
映射為容器進程中的另一個 uid
和 gid
。這對 Docker 的安全性來說是一項巨大的改進。下面我會通過一個案例來展示一下用戶名字空間能夠解決的問題,以及如何啟用該功能。
創建一個 Docker Machine
如果你已經創建好了一台用來試驗用戶名字空間的 docker 機器 ,那麼可以跳過這一步。我在自己的 Macbook 上安裝了 Docker Toolbox,因此我只需用 docker-machine
命令就很簡單地創建一個基於 VirtualBox 的 Docker 機器(這裡假設主機名為 host1
):
# Create host1
$ docker-machine create --driver virtualbox host1
# Login to host1
$ docker-machine ssh host1
理解在用戶名字空間未啟用的情況下,非 root 用戶能做什麼
在啟用用戶名字空間前,我們先來看一下會有什麼問題。Docker 到底哪個地方做錯了?首先,使用 Docker 的一大優勢在於用戶在容器中可以擁有 root 許可權,因此用戶可以很方便地安裝軟體包。但是在 Linux 容器技術中這也是一把雙刃劍。只要經過少許操作,非 root 用戶就能以 root 的許可權訪問主機系統中的內容,比如 /etc
。下面是操作步驟。
# Run a container and mount host1's /etc onto /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu
# Make some change on /root/etc/hosts
root@34ef23438542:/# vi /root/etc/hosts
# Exit from the container
root@34ef23438542:/# exit
# Check /etc/hosts
$ cat /etc/hosts
你可以看到,步驟簡單到難以置信,很明顯 Docker 並不適用於運行在多人共享的電腦上。但是現在,通過用戶名字空間,Docker 可以避免這個問題。
啟用用戶名字空間
# Create a user called "dockremap"
$ sudo adduser dockremap
# Setup subuid and subgid
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subuid'
$ sudo sh -c 'echo dockremap:500000:65536 > /etc/subgid'
然後,打開 /etc/init.d/docker
,並在 /usr/local/bin/docker daemon
後面加上 --userns-remap=default
,像這樣:
$ sudo vi /etc/init.d/docker
/usr/local/bin/docker daemon --userns-remap=default -D -g "$DOCKER_DIR" -H unix:// $DOCKER_HOST $EXTRA_ARGS >> "$DOCKER_LOGFILE" 2>&1 &
然後重啟 Docker:
$ sudo /etc/init.d/docker restart
這就完成了!
注意:若你使用的是 CentOS 7,則你需要了解兩件事。
- 內核默認並沒有啟用用戶名字空間。運行下面命令並重啟系統,可以啟用該功能。
sudo grubby --args="user_namespace.enable=1"
--update-kernel=/boot/vmlinuz-3.10.0-XXX.XX.X.el7.x86_64
- CentOS 7 使用
systemctl
來管理服務,因此你需要編輯的文件是/usr/lib/systemd/system/docker.service
。
確認用戶名字空間是否正常工作
若一切都配置妥當,則你應該無法再在容器中編輯 host1 上的 /etc
了。讓我們來試一下。
# Create a container and mount host1's /etc to container's /root/etc
$ docker run --rm -v /etc:/root/etc -it ubuntu
# Check the owner of files in /root/etc, which should be "nobody nogroup".
root@d5802c5e670a:/# ls -la /root/etc
total 180
drwxr-xr-x 11 nobody nogroup 1100 Mar 21 23:31 .
drwx------ 3 root root 4096 Mar 21 23:50 ..
lrwxrwxrwx 1 nobody nogroup 19 Mar 21 23:07 acpi -> /usr/local/etc/acpi
-rw-r--r-- 1 nobody nogroup 48 Mar 10 22:09 boot2docker
drwxr-xr-x 2 nobody nogroup 60 Mar 21 23:07 default
# Try creating a file in /root/etc
root@d5802c5e670a:/# touch /root/etc/test
touch: cannot touch '/root/etc/test': Permission denied
# Try deleting a file
root@d5802c5e670a:/# rm /root/etc/hostname
rm: cannot remove '/root/etc/hostname': Permission denied
好了,太棒了。這就是用戶名字空間的工作方式。
via: https://coderwall.com/p/s_ydlq/using-user-namespaces-on-docker
作者:Koji Tanaka 選題:lujun9972 譯者:lujun9972 校對:pityonline
本文轉載來自 Linux 中國: https://github.com/Linux-CN/archive