從Docker容器漏洞談Docker 安全

近日，一篇在Docker博客上發(fā)表的文章顯示，Docker的容器已經(jīng)被突破，并且能夠遍歷宿主機(jī)的文件了。由于Docker的輕量，快速等等優(yōu)點(diǎn)，讓Docker在PaaS[注]領(lǐng)域愈發(fā)火熱，自然也就吸引了安全人員對其進(jìn)行研究。這篇文章無疑將Docker推進(jìn)了一個新紀(jì)元：放開應(yīng)用，想想安全。

不要給用戶root權(quán)限

該文章的作者強(qiáng)調(diào)：只有在容器內(nèi)以 root 權(quán)限運(yùn)行不受信任的應(yīng)用程序，才有可能觸發(fā)這個漏洞。而這是我們不推薦的運(yùn)行 Docker Engine 的方式。

這句話可以分兩個層次來解讀，首先就是root權(quán)限的使用，其次是何為不受信任的應(yīng)用程序。

Docker并不是虛擬機(jī)，Docker本來的用法也不是虛擬機(jī)。舉個簡單的例子，普通的虛擬機(jī)租戶root和宿主root是分開的，而Docker的租戶root和宿主root是同一個root。一旦容器內(nèi)的用戶從普通用戶權(quán)限提升為root權(quán)限，他就直接具備了宿主機(jī)的root權(quán)限，進(jìn)而進(jìn)行幾乎無限制的操作。這是為什么呢?因為Docker原本的用法是將進(jìn)程之間進(jìn)行隔離，為進(jìn)程或進(jìn)程組創(chuàng)建隔離開的運(yùn)行空間，目的就是為了隔離有問題的應(yīng)用，而進(jìn)程之間的限制就是通過namespace和cgroup來進(jìn)行隔離與配額限制。每一個隔離出來的進(jìn)程組，對外就表現(xiàn)為一個container(容器)。在宿主機(jī)上可以看到全部的進(jìn)程，每個容器內(nèi)的進(jìn)程實際上對宿主機(jī)來說是一個進(jìn)程樹。也就是說，Docker是讓用戶以為他們占據(jù)了全部的資源，從而給用戶一個“虛擬機(jī)”的感覺。

第二，何為不受信任的應(yīng)用程序?來源不明的應(yīng)用程序，或者二進(jìn)制代碼等等，以及有漏洞的應(yīng)用程序，都可以稱為不受信任的應(yīng)用程序。舉個例子，在Docker容器中只運(yùn)行基礎(chǔ)的Apache服務(wù)器和MySQL數(shù)據(jù)庫，可能大家認(rèn)為這樣的環(huán)境用root也沒問題，但是如果Apache或者M(jìn)ySQL有不為人所知的漏洞被利用，那么這兩個應(yīng)用也就成為了不受信任的應(yīng)用。因此在以root運(yùn)行應(yīng)用程序，或是在考慮安全環(huán)境的時候，需要以一切皆不可信的態(tài)度來對Docker環(huán)境進(jìn)行安全加固。