日日操夜夜添-日日操影院-日日草夜夜操-日日干干-精品一区二区三区波多野结衣-精品一区二区三区高清免费不卡

需要用root用戶運行Docker？

組織中，經常以Root用戶運行Docker中的容器。但是你的工作負載真的需要root權限嗎？顯然很少。盡管如此，默認情況下，你的容器仍將以root用戶身份運行，但這可能會帶來嚴重的安全問題。實際上，如果以root用戶運行容器內部的進程，就是以root用戶身份運行主機的進程。這就為那些惡意訪問主機的攻擊者，提供了機會。

只需在常用的任何鏡像上使用以下命令，你就可以自己查看它使用的用戶身份，

$ kubectl run -i --tty hello-world --image=hello-world --restart=Never -- sh
# ps aux
PID   USER     TIME  COMMAND
1   root     0:10  sh

顯然，作為最佳實踐，我們應該避免以超級用戶身份運行容器。因此，讓我們看看如何以非root用戶身份運行容器。

將非root用戶添加到Dockerfile

你可以在Dockerfile中使用RUN命令創建用戶，這個用戶僅具有容器內工作負載所需的權限。

RUN groupadd --gid 5000 newuser 
  && useradd --home-dir /home/newuser --create-home --uid 5000 
    --gid 5000 --shell /bin/sh --skel /dev/null newuser

上面的命令行創建了一個用戶newuser， 并指定了用戶登錄后使用的主目錄和shell 。如下所示，將用戶添加到你的Dockerfile中：

FROM ubuntu:18.04
COPY . /myApp
RUN make /myapp
...
USER newuser
CMD Python /myapp/hello.py

從第5行開始，每個命令都是以newuser身份而不是root身份運行。是不是很簡單？

但是，我們并不總是僅使用自定義鏡像。我們還使用了許多第三方鏡像，因此我們無法像上面那樣將root權限的用戶注入其中。

這些第三方Docker鏡像默認情況下將以root用戶身份運行，除非我們對其進行處理。如果你使用不知名來源中的鏡像，那么該鏡像很可能嵌入了惡意命令，這就可能會影響集群的安全性。

Kubernetes中Pod安全上下文和Pod安全策略，可以幫助我們以非root身份運行三方鏡像。

使用Pod安全上下文

你可以使用Pod安全上下文，將Pod的執行限制為特定的非root用戶。通過在Pod規范中添加一個字段securityContext，就可以為Pod指定這些安全設置 。

apiVersion: v1
kind: Pod
metadata:	
 	name: my-pod
spec:  
securityContext:    runAsUser: 5000    runAsGroup: 5000  volumes:  - name: my-vol    emptyDir: {}  containers:  - name: my-container    image: hello-world    command: ["sh", "-c", "sleep 10 m"]    volumeMounts:    - name: my-vol      mountPath: /data/hello    securityContext:      allowPrivilegeEscalation: false

在以上規范中，我們創建了一個為非root的用戶，runAsUser指定Pod內的任何容器 僅以userID為5000的運行。runAsGroup 指定的容器內所有進程的組ID。否則，則組ID將是0。

現在，你可以創建此pod并檢查容器中運行的進程：

$ kubectl apply -f my-pod.yaml
$ kubectl exec -it my-pod – sh
ps
PID   USER     TIME  COMMAND  
1   5000     0:00  sleep 10 m 
6   5000     0:00  sh

如上所示，PID 1正在以userID為5000的用戶而不是root用戶身份運行。

使用Kubernetes Pod安全策略

Kubernetes Pod安全策略定義了Pod必須運行的條件。換句話說，如果不滿足這些條件，Kubernetes將阻止Pod運行。

PodSecurityPolicy示例：

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
	name: my-psp
spec:
	privileged: false  
	#Required to prevent escalations to root.  
	allowPrivilegeEscalation: false  
	allowedCapabilities:  
	- '*' 
	volumes:  
	- 'nfs'  
	hostNetwork: true  
	hostPorts:  
	- min: 8000    
		max: 8000  
	hostIPC: true  
	hostPID: true  
	runAsUser:    
		#Require the container to run without root.    
    rule: 'MustRunAsNonRoot'  
	selinux:    
		rule: 'RunAsAny'  
	supplementalGroups:    
		rule: 'RunAsAny'  
	fsGroup:    
		rule: 'RunAsAny'

該安全策略實現以下目的：

• 限制容器在特權模式下運行。
• 限制需要根目錄的容器。
• 僅允許容器NFS存儲卷。
• 僅允許容器訪問主機端口8000。

應用：

kubectl create -f my-psp.yaml

查看：

$ kubectl get psp
NAME    PRIV   RUNASUSER         FSGROUP   SELINUX   VOLUMES
My-psp  false  MustRunAsNonRoot  RunAsAny  RunAsAny  [nfs]

現在已經創建了策略，你可以通過嘗試以root特權運行容器來對其進行測試。

$ kubectl run --image=my-root-container

pod安全策略將禁止其運行，并給出錯誤消息：

$ kubectl get pods
NAME         READY    STATUS     
my-root-pod  0/1      container has runAsNonRoot and image will run as root

結論

在這篇文章中，我強調了默認設置下，使用root用戶運行Docker容器有著固有風險。我還提出了多種方法來克服這種風險。

• 如果你正在運行自定義鏡像，請創建一個新的非root用戶并在Dockerfile中指定它。
• 如果使用的是第三方鏡像，則可以在容器或容器級別設置安全上下文。
• 還有一種方法是創建一個Pod安全策略，該策略將不允許任何容器以root特權運行。

原文鏈接：https://dzone.com/articles/docker-without-root-privileges