自从我写完Docker安全系列的那两篇文章之后, 已经过去有一段时间了. 本文主要是来谈谈在那之后Docker的新的变化, 包含一些新增的特性的介绍.
调整Capabilities在上一篇文章中, 我提到过容器的隔离是基于Linux的Capability机制实现的.
Linux的Capability机制允许你将超级用户相关的高级权限划分成为不同的小单元. 目前Docker容器默认只用到了以下的Capability.
CHOWN, DAC_OVERRIDE, FSETID, FOWNER, MKNOD, NET_RAW, SETGID, SETUID, SETFCAP, SETPCAP, NET_BIND_SERVICE, SYS_CHROOT, KILL, AUDIT_WRITE
有些情况下,你也许需要调整上面罗列的特性。比如你正在构建一个容器,你用它来执行ntpd或是crony,为此它们要能够修改宿主的系统时间。由于不具备 CAP_SYS_TIME 特性,容器无法工作。为了应对这种情况,在Docker之前的版本中,容器必须以提权模式运行(使用 --privileged 选项),这会禁用所有安全机制。
在Docker的1.3版中,新添了 --cap-add 和 --cap-drop 选项。要让一个ntpd容器跑起来,你现在只要执行以下命令:
docker run -d --cap-add SYS_TIME ntpd
就可以将 SYS_TIME 特性添加到你的容器中。
再举个例子,如果你确定你的容器不会改变任何进程的UID和GID,那完全可以将这些特性从你的容器中移除,这样会更安全:
docker run --cap-drop SETUID --cap-drop SETGID --cap-drop FOWNER Fedora /bin/sh
命令示例,用于查看启用的特性:
# pscap | grep 2912
运行结果示例:
5417 2912 root sh chown, dac_override, fsetid, kill, setpcap, net_bind_service, net_raw, sys_chroot, mknod, audit_write, setfcap
或者你可以先移除所有特性,然后再把一个添加回去:
docker run --cap-drop ALL --cap-add SYS_TIME ntpd /bin/sh
查看启用的特性:
# pscap | grep 2382
5417 2382 root sh sys_time
SELinux标签调整和特性类似,我们增加了在运行时调整SELinux标签的功能。
如果你看过图解SELinux一书,你就知道我们可以根据类别和MCS/MLS等级来区分进程。我们使用类别来保护宿主不受容器影响。而我们也能通过调整类别来控制容器的哪些网络端口能够输入和输出。目前我们所有运行着的容器都是svirt_net_lxc_t。该类别允许所有网络端口都能处于监听状态,也允许所有网络端口都能对外发起连接。我们可以通过调整SELinux类别标签来增强容器的安全性。
针对常规SELinux和Apache httpd,我们默认只允许Apache进程在Apache端口(http_port_t)上进行监听。
# sudo sepolicy network -t http_port_t
http_port_t: tcp: 80,81,443,488,8008,8009,8443,9000
与此同时,端口上的所有传出连接也被我们屏蔽了。这有助于我们对Apache进程的锁定,即使有黑客利用像ShellShock那样的安全漏洞破坏了应用程序,我们也能防止应用程序变成制造垃圾信息的机器人,同时阻止进程对其他系统发起攻击。就像《Hotel California》中所唱的那样:“你可以随时入住,但休想离开”。
然而,对于容器而言,如果你在一个容器中运行Apache服务程序,一旦应用程序被成功入侵,Apache进程将会连接任何网络端口并成为制造垃圾信息的机器人,也可能会通过网络攻击其他宿主和容器。
为使用SELinux的容器创建新的策略类别相当容易。首先你需要创建一个SELinux TE(Type Enforcement)文件:
# cat > docker_apache.te << _EOF
policy_module(docker_apache,1.0)
# This template interface creates the docker_apache_t type as a
# type which can be run as a docker container. The template
# gives the domain the least privileges required to run.
virt_sandbox_domain_template(docker_apache)
# I know that the apache daemon within the container will require
# some capabilities to run. Luckily I already have policy for
# Apache and I can query SELinux for the capabilities.
# sesearch -AC -s httpd_t -c capability
allow docker_apache_t self: capability { chown dac_override kill setgid setuid net_bind_service sys_chroot sys_nice sys_tty_config } ;
# These are the rules required to allow the container to listen
# to Apache ports on the network.
allow docker_apache_t self:tcp_socket create_stream_socket_perms;
allow docker_apache_t self:udp_socket create_socket_perms;
corenet_tcp_bind_all_nodes(docker_apache_t)
corenet_tcp_bind_http_port(docker_apache_t)
corenet_udp_bind_all_nodes(docker_apache_t)
corenet_udp_bind_http_port(docker_apache_t)
# Apache needs to resolve names against a DNS server
sysnet_dns_name_resolve(docker_apache_t)
# Permissive domains allow processes to not be blocked by SELinux
# While developing and testing your policy you probably want to
# run the container in permissive mode.
# You want to remove this rule, when you are confident in the
# policy.
permissive docker_apache_t;
_EOF
# make -f /usr/share/selinux/devel/Makefile docker_apache.pp
# semodule -i docker_apache.pp
现在,你可以使用新的类别运行容器:
# docker run -d --security-opt type:docker_apache_t httpd