Docker引擎安全：用户命名空间隔离技术详解

Docker引擎安全：用户命名空间隔离技术详解

docs Source repo for Docker's Documentation 项目地址: https://gitcode.com/gh_mirrors/docs3/docs

引言

在容器安全领域，用户命名空间隔离是一项关键技术。本文将深入探讨Docker引擎中通过用户命名空间(user namespace)实现容器隔离的机制，帮助开发者理解并正确配置这一重要安全特性。

用户命名空间基础概念

Linux命名空间为运行中的进程提供了隔离机制，限制其对系统资源的访问，而进程本身并不会察觉到这些限制。用户命名空间是其中一种关键类型，它允许：

• 在容器内部以root用户运行进程
• 将这些特权用户映射到宿主机上的非特权用户
• 有效防止容器内的权限提升攻击

用户ID重映射机制

核心配置文件

用户ID重映射通过两个关键文件实现：

1. /etc/subuid - 用户ID映射配置
2. /etc/subgid - 组ID映射配置

典型配置条目示例：

testuser:231072:65536

这表示：

• testuser用户被分配从231072开始的65536个连续UID
• 在容器内部，231072被映射为0(root)，231073映射为1，依此类推
• 容器内进程在宿主机上实际以高数字UID运行，无实际权限

多范围分配

可以为单个用户分配多个非重叠的ID范围，但内核限制每个进程最多只能有5个映射条目。

配置前的准备工作

1. 用户与组验证

确保映射用户已存在并验证其信息：

id testuser

2. 子UID/GID范围配置

检查并确保/etc/subuid和/etc/subgid中有相应用户的条目，且范围不重叠。

3. 文件系统权限调整

为需要写入的宿主机目录设置适当权限，确保非特权用户可以访问。

4. 存储注意事项

启用用户命名空间会：

• 隐藏现有的镜像和容器层
• 在/var/lib/docker/下创建新的子目录
• 建议在新安装的Docker环境中启用此功能

启用用户命名空间重映射

通过daemon.json配置

推荐使用配置文件方式启用：

{
  "userns-remap": "testuser"
}

支持多种格式：

• 用户名：testuser
• 用户ID：1001
• 用户:组组合：testuser:testgroup
• 混合格式：testuser:1001

使用default值让Docker自动创建dockremap用户。

验证配置

1. 检查dockremap用户是否创建成功：

   id dockremap
   

2. 确认子UID/GID条目：

   grep dockremap /etc/subuid
   grep dockremap /etc/subgid
   

3. 检查新的命名空间目录：

   sudo ls -ld /var/lib/docker/231072.231072/
   

为特定容器禁用命名空间

在已启用用户命名空间的守护进程中，可以通过--userns=host为特定容器禁用该功能：

docker run --userns=host ...

注意：文件系统所有权仍会重映射，可能导致容器内某些程序行为异常。

已知限制与注意事项

1. 不兼容特性：

   • 与主机共享PID或NET命名空间
   • 不支持用户映射的外部存储驱动
   • 特权模式容器(除非同时指定--userns=host)

2. 功能限制：

   • 命名空间内的root用户仍受内核限制
   • 无法在容器内使用mknod创建设备文件

3. 卷挂载：

   • 需要预先安排好挂载卷的文件所有权
   • 确保容器内进程有适当的读写权限

最佳实践建议

1. 在新安装的Docker环境中启用此功能
2. 仔细规划UID/GID映射范围，避免重叠
3. 为需要访问的宿主机目录预先配置权限
4. 充分测试应用程序在用户命名空间下的行为
5. 考虑使用自动创建的dockremap用户简化管理

通过合理配置用户命名空间隔离，可以显著提升Docker容器的安全性，有效降低容器突破带来的风险。

docs Source repo for Docker's Documentation 项目地址: https://gitcode.com/gh_mirrors/docs3/docs