コンテナ内で実行されているプロセスとホスト システム間のユーザー名、グループ名、ユーザー ID (UID)、グループ ID (GID) のマッピングを理解することは、安全なシステムを構築する上で重要な部分です。他のオプションが指定されていない場合、コンテナ内のプロセスはルート ユーザーとして実行されます (Dockerfile で別の UID が指定されていない限り)。この記事では、これがどのように機能するか、権限を正しく付与する方法、および例を示して説明します。 uid/gid セキュリティのステップバイステップの分析まず、uid と gid がどのように実装されているかを確認しましょう。 Linux カーネルは、カーネルレベルのシステム コールを使用して、要求された特権を付与するかどうかを判断し、uid および gid スペースを管理する責任があります。たとえば、プロセスがファイルに書き込もうとすると、カーネルはプロセスを作成した uid と gid をチェックして、ファイルを変更するのに十分な権限があるかどうかを判断します。ユーザー名の代わりに uid が使用されます。 サーバー上で Docker コンテナを実行する場合、カーネルは 1 つだけです。コンテナ化がもたらす大きな価値の 1 つは、これらすべての独立したプロセスが単一のカーネルを引き続き共有できることです。つまり、Docker コンテナを実行しているサーバー上でも、uid と gid の世界全体が単一のカーネルによって制御されます。 したがって、同じ uid を異なるコンテナーで使用したり、異なるユーザーに割り当てることはできません。これは、一般的な Linux ツールに表示されるユーザー名 (およびグループ名) がカーネルの一部ではなく、外部ツール (/etc/passwd、LDAP、Kerberos など) によって管理されるためです。したがって、異なるユーザー名が表示される場合がありますが、異なるコンテナーであっても、同じ uid/gid に対して異なる権限を持つことはできません。最初はかなり混乱するかもしれませんので、いくつかの例を見てみましょう。 シンプルなDocker実行まず、docker グループのメンバーであるサーバーに通常のユーザー (marc) としてログインします。この方法では、sudo コマンドを使用せずに Docker コンテナを起動できます。次に、コンテナの外側から、このプロセスがどのように見えるかを見てみましょう。 私は sudo を入力したことがなく、root ではありませんでしたが、実行した sleep コマンドは root として開始され、root 権限がありました。ルート権限があるかどうかはどうすればわかりますか?コンテナ内のルートはコンテナ外のルートと同じですか?はい、前述したように、単一のカーネルと、uid および gid の共有プールが存在するためです。コンテナ外に表示されるユーザー名は「root」なので、コンテナ内のプロセスは uid=0 のユーザーとして開始されていることが分かります。 定義されたユーザーを含むDockerfileDockerfile で別のユーザーを作成し、そのユーザーとしてコマンドを起動するとどうなりますか?例を簡略化するために、ここでは gid を指定していませんが、同じ概念がグループ ID にも適用されます。 まず、ユーザー ID が 1001 の「marc」というユーザーとしてこれらのコマンドを実行します。 Dockerファイル: 建てる: ここでは一体何が起こっているのでしょうか、そしてそれは何を意味するのでしょうか?私は、uid 1001 の「appuser」というユーザーを持つ Docker イメージを構築しました。テスト サーバーでは、uid 1001 の「marc」というアカウントも使用しています。コンテナを起動すると、Dockerfile に「USER appuser」という行が含まれていたため、sleep コマンドが appuser として実行されました。ただし、これは実際には appuser として実行されているわけではなく、Docker イメージで appuser として識別されるユーザーの uid として実行されています。 コンテナ外で実行されているプロセスを調べると、ユーザー「marc」にマップされていることがわかりますが、コンテナ内ではユーザー「appuser」にマップされています。これら 2 つのユーザー名は、実行コンテキストが認識しているユーザー名を 1001 にマップしているだけを示しています。 これはあまり重要ではありません。しかし、コンテナ内では、ユーザー「appuser」がコンテナ外のユーザー「marc」から権限と特権を取得したことを認識することが重要です。 Linux ホスト上のユーザー marc または uid 1001 に付与された権限は、コンテナー内の appuser にも付与されます。 コンテナのアクセス権限を制御する方法もう 1 つのオプションは、Docker コンテナを実行するときにユーザー名またはユーザー ID とグループ名またはグループ ID を指定することです。 最初の例をもう一度使ってみましょう。 ここで何をしたのでしょうか?ユーザー 1001 として起動するコンテナーを作成しました。そのため、ps や top (またはほとんどの監視ツール) などのコマンドを実行すると、プロセスは「marc」ユーザーにマップされます。 興味深いことに、そのコンテナに ssh すると、1001 ユーザーのエントリが /etc/passwd ファイルに存在せず、「名前がありません」と表示されることがわかります。コンテナの bash プロンプトで。 コンテナを作成するときにユーザー フラグを指定すると、Dockerfile 内の値も上書きされることに注意することが重要です。 2番目の例を覚えていますか?当時、私は、uid がローカル ホスト上の異なるユーザー名にマップされている Dockerfile を使用していました。コマンドラインでユーザーフラグを使用して、「sleep infinity」プロセスを実行するコンテナを起動すると何が起こりますか? 上記の最後の例では、スリープ プロセスを実行するコンテナーが 2 つあることがわかります。1 つは「marc」、もう 1 つは「root」です。これは、2 番目のコマンドがコマンド ラインで --user フラグを渡すことによってユーザー ID を変更したためです。 要約するこれを調べてみると、制限された権限でコンテナを実行するすべての方法がホストのユーザー システムを利用していることがわかります。
|
<<: SaaS とオンプレミスの IT 管理プラットフォームの導入: 長所と短所
>>: テスラがハッキングされた? Kubernetes クラスターを保護し、ハッカーの侵入を防ぐにはどうすればよいでしょうか?
著者 |徐克佳(イェ・モ) 2022 年 6 月末に、Alibaba Cloud iLogtail ...
virpus.com の旋風割引プロモーションが始まりました。SSD ハード ドライブを搭載したすべ...
[[398423]]中国情報通信研究院(以下、CAICT)が発表した「クラウドコンピューティング発展...
123systems の最近の 2 つの KVM VPS プロモーションをご利用になったでしょうか。...
この記事はいくつかのアイデアの参考資料であり、詳細な実装手順ではありません。なぜなら、この種のことに...
weloveservers は、ほぼ 1 年前からある新しい VPS プロバイダーです。最も有名なの...
最近、クラウドコンピューティング情報局第10号で、アリババクラウド製品の専門家である雲儒が、新製品で...
SEO 業界に参入したばかりの人は皆、外部リンクから始めます。私もそうです。外部リンクは非常に退屈な...
2次元ゲームのプロモーションといえば、従来のチャネルやトラフィック購入に加えて、アップマスターやファ...
tmhhostの「ダブルイレブン」イベントが始まりました。プロモーション内容には、日本CN2 VPS...
インターネット コンテンツが豊富な現在の Web2.0 時代では、テキストはもはやオンラインで閲覧す...
一昨日、vmissは米国ロサンゼルスにcn2 giaネットワークシリーズVPSを追加しました。担当者...
編集者注: この記事は、Levi UP の創設者である Yu Yue によって執筆されました。こちら...
Baidu 検索結果のスクリーンショット新浪科技は5月2日夜、百度包括コンピューティングが新たなコン...
ウェブサイトのデザインを編集または変更する必要がある場合、カスケーディング スタイル シートが重要な...