通过在
docker组中,Alice和Bob已被授予对主机的虚拟根访问权限。
该
docker组授予他们通过套接字文件访问Docker API的权限。Docker中目前没有工具可以区分Docker
API的用户。Docker守护程序以root身份运行,并且借助Docker API的允许,Alice和Bob将能够解决您尝试设置的所有障碍。
用户命名空间
使用用户名称空间隔离可以阻止容器 内
的用户以特权用户或其他用户身份脱离容器,因此实际上,容器进程现在以非特权用户身份运行。
一个例子是
- Alice被授予ssh访问在namespace_a中运行的容器A的权限。
- 鲍勃被ssh授予对namespace_b中的容器B的访问权限。
由于用户现在仅位于容器内,因此他们将无法修改主机上的其他文件。假设两个容器都映射了相同的主机卷,那么没有世界范围的读/写/执行的文件对于彼此来说是安全的。由于他们无法控制守护程序,因此他们无能为力。
Docker守护程序
命名空间无法保护Docker守护进程和API本身,而Docker守护进程和API本身仍然是一个特权进程。解决用户名空间的第一种方法是在命令行上设置主机名称空间:
docker run --privileged --userns=host busybox fdisk -l
的
docker exec,
docker cp并
docker export命令会给别人能够访问泊坞API创建的任何容器的内容。
限制Docker访问
可以限制对API的访问,但是您不能在
docker组中拥有具有shell访问权限的用户。
docker通过
sudo或提供
sudo访问对docker参数进行硬编码的脚本的有限命令集:
#!/bin/shdocker run --userns=whom image command
对于自动化系统,可以通过附加的shim API提供访问权限,并在Docker
API之前添加适当的访问控制,然后将“受控”请求传递给Docker。
dockerode或
docker-py可以轻松插入REST服务并与Docker交互。
