从Docker容器漏洞谈Docker 安全

从Docker容器漏洞谈Docker 安全

近日，一篇在Docker博客上发表的文章显示，Docker的容器已经被突破，并且能够遍历宿主机的文件了。由于Docker的轻量，快速等等优点，让Docker在PaaS[注]领域愈发火热，自然也就吸引了安全人员对其进行研究。这篇文章无疑将Docker推进了一个新纪元：放开应用，想想安全。

不要给用户root权限

该文章的作者强调：只有在容器内以 root 权限运行不受信任的应用程序，才有可能触发这个漏洞。而这是我们不推荐的运行 Docker Engine 的方式。

这句话可以分两个层次来解读，首先就是root权限的使用，其次是何为不受信任的应用程序。

Docker并不是虚拟机，Docker本来的用法也不是虚拟机。举个简单的例子，普通的虚拟机租户root和宿主root是分开的，而Docker的租户root和宿主root是同一个root。一旦容器内的用户从普通用户权限提升为root权限，他就直接具备了宿主机的root权限，进而进行几乎无限制的操作。这是为什么呢?因为Docker原本的用法是将进程之间进行隔离，为进程或进程组创建隔离开的运行空间，目的就是为了隔离有问题的应用，而进程之间的限制就是通过namespace和cgroup来进行隔离与配额限制。每一个隔离出来的进程组，对外就表现为一个container(容器)。在宿主机上可以看到全部的进程，每个容器内的进程实际上对宿主机来说是一个进程树。也就是说，Docker是让用户以为他们占据了全部的资源，从而给用户一个“虚拟机”的感觉。

第二，何为不受信任的应用程序?来源不明的应用程序，或者二进制代码等等，以及有漏洞的应用程序，都可以称为不受信任的应用程序。举个例子，在Docker容器中只运行基础的Apache服务器和MySQL数据库，可能大家认为这样的环境用root也没问题，但是如果Apache或者MySQL有不为人所知的漏洞被利用，那么这两个应用也就成为了不受信任的应用。因此在以root运行应用程序，或是在考虑安全环境的时候，需要以一切皆不可信的态度来对Docker环境进行安全加固。