使用 Docker 的用户名字空间功能
用户名字空间User Namespaces 于 Docker 1.10 版本正式纳入其中,该功能允许主机系统将自身的 uid 和 gid 映射为容器进程中的另一个 uid 和 gid。这对 Docker 的安全性来说是一项巨大的改进。下面我会通过一个案例来展示一下用户名字空间能够解决的问题,以及如何启用该功能。
创建一个 Docker Machine如果你已经创建好了一台用来试验用户名字空间的 docker 机器Machine,那么可以跳过这一步。我在自己的 Macbook 上安装了 Docker Toolbox,因此我只需用 docker-machine 命令就很简单地创建一个基于 VirtualBox 的 Docker 机器(这里假设主机名为 host1):
# Create host1 $ docker-machine create --driver virtualbox host1 # Login to host1 $ docker-machine ssh host1理解在用户名字空间未启用的情况下,非 root 用户能做什么
在启用用户名字空间前,我们先来看一下会有什么问题。Docker 到底哪个地方做错了?首先,使用 Docker 的一大优势在于用户在容器中可以拥有 root 权限,因此用户可以很方便地安装软件包。但是在 Linux 容器技术中这也是一把双刃剑。只要经过少许操作,非 root 用户就能以 root 的权限访问主机系统中的内容,比如 /etc。下面是操作步骤。
# Run a container and mount host1s /etc onto /root/etc $ docker run --rm -v /etc:/root/etc -it ubuntu # Make some change on /root/etc/hosts root@34ef23438542:/# vi /root/etc/hosts # Exit from the container root@34ef23438542:/# exit # Check /etc/hosts $ cat /etc/hosts
你可以看到,步骤简单到难以置信,很明显 Docker 并不适用于运行在多人共享的电脑上。但是现在,通过用户名字空间,Docker 可以避免这个问题。
启用用户名字空间# Create a user called "dockremap" $ sudo adduser dockremap # Setup subuid and subgid $ sudo sh -c echo dockremap:500000:65536 /etc/subuid $ sudo sh -c echo dockremap:500000:65536 /etc/subgid
然后,打开 /etc/init.d/docker,并在 /usr/local/bin/docker daemon 后面加上 --userns-remap=default,像这样:
$ sudo vi /etc/init.d/docker /usr/local/bin/docker daemon --userns-remap=default -D -g "$DOCKER_DIR" -H unix:// $DOCKER_HOST $EXTRA_ARGS "$DOCKER_LOGFILE" 2 1
然后重启 Docker:
$ sudo /etc/init.d/docker restart
这就完成了!
注意:若你使用的是 CentOS 7,则你需要了解两件事。
内核默认并没有启用用户名字空间。运行下面命令并重启系统,可以启用该功能。
sudo grubby --args="user_namespace.enable=1" / --update-kernel=/boot/vmlinuz-3.10.0-XXX.XX.X.el7.x86_64
CentOS 7 使用 systemctl 来管理服务,因此你需要编辑的文件是 /usr/lib/systemd/system/docker.service。
确认用户名字空间是否正常工作
若一切都配置妥当,则你应该无法再在容器中编辑 host1 上的 /etc 了。让我们来试一下。
# Create a container and mount host1s /etc to containers /root/etc $ docker run --rm -v /etc:/root/etc -it ubuntu # Check the owner of files in /root/etc, which should be "nobody nogroup". root@d5802c5e670a:/# ls -la /root/etc total 180 drwxr-xr-x 11 nobody nogroup 1100 Mar 21 23:31 . drwx------ 3 root root 4096 Mar 21 23:50 .. lrwxrwxrwx 1 nobody nogroup 19 Mar 21 23:07 acpi - /usr/local/etc/acpi -rw-r--r-- 1 nobody nogroup 48 Mar 10 22:09 boot2docker drwxr-xr-x 2 nobody nogroup 60 Mar 21 23:07 default # Try creating a file in /root/etc root@d5802c5e670a:/# touch /root/etc/test touch: cannot touch /root/etc/test: Permission denied # Try deleting a file root@d5802c5e670a:/# rm /root/etc/hostname rm: cannot remove /root/etc/hostname: Permission denied
好了,太棒了。这就是用户名字空间的工作方式。
via: https://coderwall.com/p/s_ydlq/using-user-namespaces-on-docker
作者:Koji Tanaka 选题:lujun9972 译者:lujun9972 校对:pityonline
本文由 LCTT 原创编译,Linux中国 荣誉推出
原创文章,作者:ItWorker,如若转载,请注明出处:https://blog.ytso.com/47628.html
centosDockerlinuxUbuntuVirtualBox相关文章
- 使用docker部署RabbitMQ
- Docker--可视化Web管理工具 Portainer(五)
- 解决Docker镜像拉取失败问题
- docker安装nginx
- Docker安装Redis
- 使用docker-compose快速部署etcd
- Docker的TLS安全远程连接配置
- 使用 Docker 和 Traefik 搭建 Vault
- [Docker]如何使用Docker部署一个go程序
- 经验分享:Docker安全的26项检查清单(checklist)
- 【Docker三连问】什么是Docker? | Docker风靡原因? | 如何安装使用Docker?
- Docker服务的搜索镜像命令(docker search 镜像名称)
- Docker删除容器命令(docker rm)
- 「 【Docker】如何处理宝塔docker管理器未启动 」
- 管理Docker镜像
- 2023-01-05:konradkleine/docker-registry-frontend是registry的web界面工具之一。请问部署在k3s中,ya
- Docker安装RockerMQ消息队列
- 使用 Docker 和 Alpaca LoRA 对 LLaMA 65B 大模型进行 Fine-Tune
- 如何在腾讯云CVM中使用docker搭建一个Kibana
- Docker网络基础知识
- Docker GitLab镜像部署详解架构师
- 使用Docker安装Redis并配置成功(docker安装redis)
- 使用Docker容器部署Redis服务(dockerredis)
- docker从Abp到MySQL,使用Docker快速部署(abpmysql)
- 使用Docker容器构建Redis服务(dockerredis)
- Docker 会取代虚拟机吗?
- 使用 Docker 企业版搭建自己的私有注册服务器
- Docker-数据卷管理使用
- 使用docker安装jenkins
- 使用公共 Registry – 每天5分钟玩转 Docker 容器技术(19)
- RUN vs CMD vs ENTRYPOINT – 每天5分钟玩转 Docker 容器技术(17)
- Ubunt环境下docker安装部署和知识点整理
- 使用 Docker 轻松安装 MySQL 数据库(docker安装mysql)