從Docker容器漏洞談Docker 安全

近日，一篇在Docker博客上發(fā)表的文章顯示，Docker的容器已經(jīng)被突破，并且能夠遍歷宿主機的文件了。由于Docker的輕量，快速等等優(yōu)點，讓Docker在PaaS[注]領(lǐng)域愈發(fā)火熱，自然也就吸引了安全人員對其進行研究。這篇文章無疑將Docker推進了一個新紀元：放開應(yīng)用，想想安全。

不要給用戶root權(quán)限

該文章的作者強調(diào)：只有在容器內(nèi)以 root 權(quán)限運行不受信任的應(yīng)用程序，才有可能觸發(fā)這個漏洞。而這是我們不推薦的運行 Docker Engine 的方式。

這句話可以分兩個層次來解讀，首先就是root權(quán)限的使用，其次是何為不受信任的應(yīng)用程序。

Docker并不是虛擬機，Docker本來的用法也不是虛擬機。舉個簡單的例子，普通的虛擬機租戶root和宿主root是分開的，而Docker的租戶root和宿主root是同一個root。一旦容器內(nèi)的用戶從普通用戶權(quán)限提升為root權(quán)限，他就直接具備了宿主機的root權(quán)限，進而進行幾乎無限制的操作。這是為什么呢?因為Docker原本的用法是將進程之間進行隔離，為進程或進程組創(chuàng)建隔離開的運行空間，目的就是為了隔離有問題的應(yīng)用，而進程之間的限制就是通過namespace和cgroup來進行隔離與配額限制。每一個隔離出來的進程組，對外就表現(xiàn)為一個container(容器)。在宿主機上可以看到全部的進程，每個容器內(nèi)的進程實際上對宿主機來說是一個進程樹。也就是說，Docker是讓用戶以為他們占據(jù)了全部的資源，從而給用戶一個“虛擬機”的感覺。

第二，何為不受信任的應(yīng)用程序?來源不明的應(yīng)用程序，或者二進制代碼等等，以及有漏洞的應(yīng)用程序，都可以稱為不受信任的應(yīng)用程序。舉個例子，在Docker容器中只運行基礎(chǔ)的Apache服務(wù)器和MySQL數(shù)據(jù)庫，可能大家認為這樣的環(huán)境用root也沒問題，但是如果Apache或者MySQL有不為人所知的漏洞被利用，那么這兩個應(yīng)用也就成為了不受信任的應(yīng)用。因此在以root運行應(yīng)用程序，或是在考慮安全環(huán)境的時候，需要以一切皆不可信的態(tài)度來對Docker環(huán)境進行安全加固。