DockerコンテナにおけるUIDとGIDの仕組みを理解する

DockerコンテナにおけるUIDとGIDの仕組みを理解する

コンテナ内で実行されているプロセスとホスト システム間のユーザー名、グループ名、ユーザー ID (UID)、グループ ID (GID) のマッピングを理解することは、安全なシステムを構築する上で重要な部分です。他のオプションが指定されていない場合、コンテナ内のプロセスはルート ユーザーとして実行されます (Dockerfile で別の UID が指定されていない限り)。この記事では、これがどのように機能するか、権限を正しく付与する方法、および例を示して説明します。

uid/gid セキュリティのステップバイステップの分析

まず、uid と gid がどのように実装されているかを確認しましょう。 Linux カーネルは、カーネルレベルのシステム コールを使用して、要求された特権を付与するかどうかを判断し、uid および gid スペースを管理する責任があります。たとえば、プロセスがファイルに書き込もうとすると、カーネルはプロセスを作成した uid と gid をチェックして、ファイルを変更するのに十分な権限があるかどうかを判断します。ユーザー名の代わりに uid が使用されます。

サーバー上で Docker コンテナを実行する場合、カーネルは 1 つだけです。コンテナ化がもたらす大きな価値の 1 つは、これらすべての独立したプロセスが単一のカーネルを引き続き共有できることです。つまり、Docker コンテナを実行しているサーバー上でも、uid と gid の世界全体が単一のカーネルによって制御されます。

したがって、同じ uid を異なるコンテナーで使用したり、異なるユーザーに割り当てることはできません。これは、一般的な Linux ツールに表示されるユーザー名 (およびグループ名) がカーネルの一部ではなく、外部ツール (/etc/passwd、LDAP、Kerberos など) によって管理されるためです。したがって、異なるユーザー名が表示される場合がありますが、異なるコンテナーであっても、同じ uid/gid に対して異なる権限を持つことはできません。最初はかなり混乱するかもしれませんので、いくつかの例を見てみましょう。

シンプルなDocker実行

まず、docker グループのメンバーであるサーバーに通常のユーザー (marc) としてログインします。この方法では、sudo コマンドを使用せずに Docker コンテナを起動できます。次に、コンテナの外側から、このプロセスがどのように見えるかを見てみましょう。

 marc@server:~$ docker run -d ubuntu:latest sleep infinity 92c57a8a4eda60678f049b906f99053cbe3bf68a7261f118e411dee173484d10 marc@server:~$ ps aux | grep sleep root 15638 0.1 0.0 4380 808 ? Ss 19:49 0:00 sleep infinity

私は sudo を入力したことがなく、root ではありませんでしたが、実行した sleep コマンドは root として開始され、root 権限がありました。ルート権限があるかどうかはどうすればわかりますか?コンテナ内のルートはコンテナ外のルートと同じですか?はい、前述したように、単一のカーネルと、uid および gid の共有プールが存在するためです。コンテナ外に表示されるユーザー名は「root」なので、コンテナ内のプロセスは uid=0 のユーザーとして開始されていることが分かります。

定義されたユーザーを含むDockerfile

Dockerfile で別のユーザーを作成し、そのユーザーとしてコマンドを起動するとどうなりますか?例を簡略化するために、ここでは gid を指定していませんが、同じ概念がグループ ID にも適用されます。

まず、ユーザー ID が 1001 の「marc」というユーザーとしてこれらのコマンドを実行します。

 marc@server:~$ echo $UID 1001

Dockerファイル:

 FROM ubuntu:latest RUN useradd -r -u 1001 -g appuser appuser USER appuser ENTRYPOINT [“sleep”, “infinity”]

建てる:

 marc@server:~$ docker build -t test . Sending build context to Docker daemon 14.34 kB Step 1/4 : FROM ubuntu:latest — -> f49eec89601e Step 2/4 : RUN useradd -r -u 1001 appuser — -> Running in 8c4c0a442ace — -> 6a81547f335e Removing intermediate container 8c4c0a442ace Step 3/4 : USER appuser — -> Running in acd9e30b4aba — -> fc1b765e227f Removing intermediate container acd9e30b4aba Step 4/4 : ENTRYPOINT sleep infinity — -> Running in a5710a32a8ed — -> fd1e2ab0fb75 Removing intermediate container a5710a32a8ed Successfully built fd1e2ab0fb75 marc@server:~$ docker run -d test 8ad0cd43592e6c4314775392fb3149015adc25deb22e5e5ea07203ff53038073 marc@server:~$ ps aux | grep sleep marc 16507 0.3 0.0 4380 668 ? Ss 20:02 0:00 sleep infinity marc@server:~$ docker exec -it 8ad0 /bin/bash appuser@8ad0cd43592e:/$ ps aux | grep sleep appuser 1 0.0 0.0 4380 668 ? Ss 20:02 0:00 sleep infinity

ここでは一体何が起こっているのでしょうか、そしてそれは何を意味するのでしょうか?私は、uid 1001 の「appuser」というユーザーを持つ Docker イメージを構築しました。テスト サーバーでは、uid 1001 の「marc」というアカウントも使用しています。コンテナを起動すると、Dockerfile に「USER appuser」という行が含まれていたため、sleep コマンドが appuser として実行されました。ただし、これは実際には appuser として実行されているわけではなく、Docker イメージで appuser として識別されるユーザーの uid として実行されています。

コンテナ外で実行されているプロセスを調べると、ユーザー「marc」にマップされていることがわかりますが、コンテナ内ではユーザー「appuser」にマップされています。これら 2 つのユーザー名は、実行コンテキストが認識しているユーザー名を 1001 にマップしているだけを示しています。

これはあまり重要ではありません。しかし、コンテナ内では、ユーザー「appuser」がコンテナ外のユーザー「marc」から権限と特権を取得したことを認識することが重要です。 Linux ホスト上のユーザー marc または uid 1001 に付与された権限は、コンテナー内の appuser にも付与されます。

コンテナのアクセス権限を制御する方法

もう 1 つのオプションは、Docker コンテナを実行するときにユーザー名またはユーザー ID とグループ名またはグループ ID を指定することです。

最初の例をもう一度使ってみましょう。

 marc@server:~$ docker run -d --user 1001 ubuntu:latest sleep infinity 84f436065c90ac5f59a2256e8a27237cf8d7849d18e39e5370c36f9554254e2b marc@server$ ps aux | grep sleep marc 17058 0.1 0.0 4380 664 ? Ss 21:23 0:00 sleep infinity

ここで何をしたのでしょうか?ユーザー 1001 として起動するコンテナーを作成しました。そのため、ps や top (またはほとんどの監視ツール) などのコマンドを実行すると、プロセスは「marc」ユーザーにマップされます。

興味深いことに、そのコンテナに ssh すると、1001 ユーザーのエントリが /etc/passwd ファイルに存在せず、「名前がありません」と表示されることがわかります。コンテナの bash プロンプトで。

 marc@server:~$ docker exec -it 84f43 /bin/bash I have no name!@84f436065c90:/$

コンテナを作成するときにユーザー フラグを指定すると、Dockerfile 内の値も上書きされることに注意することが重要です。 2番目の例を覚えていますか?当時、私は、uid がローカル ホスト上の異なるユーザー名にマップされている Dockerfile を使用していました。コマンドラインでユーザーフラグを使用して、「sleep infinity」プロセスを実行するコンテナを起動すると何が起こりますか?

 marc@server:$ docker run -d test 489a236261a0620e287e434ed1b15503c844648544694e538264e69d534d0d65 marc@server:~$ ps aux | grep sleep marc 17689 0.2 0.0 4380 680 ? Ss 21:28 0:00 sleep infinity marc@server:~$ docker run --user 0 -d test ac27849fcbce066bad37190b5bf6a46cf526f56d889af61e7a02c3726438fa7a marc@server:~$ ps aux | grep sleep marc 17689 0.0 0.0 4380 680 ? Ss 21:28 0:00 sleep infinity root 17783 0.3 0.0 4380 668 ? Ss 21:28 0:00 sleep infinity

上記の最後の例では、スリープ プロセスを実行するコンテナーが 2 つあることがわかります。1 つは「marc」、もう 1 つは「root」です。これは、2 番目のコマンドがコマンド ラインで --user フラグを渡すことによってユーザー ID を変更したためです。

要約する

これを調べてみると、制限された権限でコンテナを実行するすべての方法がホストのユーザー システムを利用していることがわかります。

  • コンテナ内のプロセスが既知の uid を使用して実行されている場合は、コンテナ内の uid のアクセスが制限されるようにホスト システムへのアクセスを制限するだけで済みます。
  • より良い解決策としては、--user を使用して既知の uid でコンテナを起動し (ユーザー名を使用することもできますが、これはホストのユーザー名システムで uid を提供するよりわかりやすい方法にすぎないことに注意してください)、コンテナを実行する uid にホストへのアクセスを制限することです。
  • コンテナはホストの uid とユーザー名 (および gid とグループ名) にマッピングされるため、コンテナ化されたプロセスを実行するユーザーを指定すると、プロセスがコンテナの内外で異なるユーザーによって所有されているように見えることがあります。

<<:  SaaS とオンプレミスの IT 管理プラットフォームの導入: 長所と短所

>>:  テスラがハッキングされた? Kubernetes クラスターを保護し、ハッカーの侵入を防ぐにはどうすればよいでしょうか?

推薦する

iLogtail オープンソース

著者 |徐克佳(イェ・モ) 2022 年 6 月末に、Alibaba Cloud iLogtail ...

Virpus-25% オフ/12.7 USD/年/Xen/15g SSD/2 コア/1.5T トラフィック/シアトル

virpus.com の旋風割引プロモーションが始まりました。SSD ハード ドライブを搭載したすべ...

中国情報通信科学院の洪坤先氏:ハイブリッドクラウドは進化を続けており、4つの主要な機能が鍵となる

[[398423]]中国情報通信研究院(以下、CAICT)が発表した「クラウドコンピューティング発展...

123systems-256MメモリKVM VPS簡易評価

123systems の最近の 2 つの KVM VPS プロモーションをご利用になったでしょうか。...

成功する個人ブログの作り方チュートリアル2:ウェブサイトの運営とプロモーション

この記事はいくつかのアイデアの参考資料であり、詳細な実装手順ではありません。なぜなら、この種のことに...

weloveservers-50G ハードディスク/無制限のウェブサイト構築/1T トラフィック/仮想ホスト/年間 5 USD の支払い

weloveservers は、ほぼ 1 年前からある新しい VPS プロバイダーです。最も有名なの...

重要なリリース |エッジコンピューティングの主戦場、アリババクラウドビジュアルコンピューティング

最近、クラウドコンピューティング情報局第10号で、アリババクラウド製品の専門家である雲儒が、新製品で...

ロングテールの鍵はそれをどう追いかけるか

SEO 業界に参入したばかりの人は皆、外部リンクから始めます。私もそうです。外部リンクは非常に退屈な...

2次元ゲームのプロモーションの問題を解決するには? 「栄光の剣」は成功したデモンストレーションを行った

2次元ゲームのプロモーションといえば、従来のチャネルやトラフィック購入に加えて、アップマスターやファ...

#11.11# tmhhost: 「ダブルイレブン」VPS 大セール、日本 CN2、米国 (3 つのネットワーク) cn2 gia、韓国 CN2、日本 Softbank

tmhhostの「ダブルイレブン」イベントが始まりました。プロモーション内容には、日本CN2 VPS...

ウェブサイトのユーザーエクスペリエンスについて - フィードビューはどのように解釈されるか

インターネット コンテンツが豊富な現在の Web2.0 時代では、テキストはもはやオンラインで閲覧す...

vmissはどうですか?ロサンゼルスのCN2 GIAネットワークシリーズVPSの簡単なレビュー、TikTok / Netflixのロックを解除

一昨日、vmissは米国ロサンゼルスにcn2 giaネットワークシリーズVPSを追加しました。担当者...

ソーシャル Q&A ウェブサイト: BBS に代わる Web 2.0 革命

編集者注: この記事は、Levi UP の創設者である Yu Yue によって執筆されました。こちら...

Baiduの検索結果にモバイルアプリの表示が追加される

Baidu 検索結果のスクリーンショット新浪科技は5月2日夜、百度包括コンピューティングが新たなコン...

開発者向けのトップ 30 CSS3 ツールとアプリ

ウェブサイトのデザインを編集または変更する必要がある場合、カスケーディング スタイル シートが重要な...