容器安全拾遗 - Rootless Container初探

最新推荐文章于 2025-06-10 09:04:27 发布
最新推荐文章于 2025-06-10 09:04:27 发布
阅读量361 收藏
点赞数
CC 4.0 BY-SA版权
文章标签: kubernetes docker 容器服务
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/weixin_43970890/article/details/90408819
本文介绍了Docker 19.03引入的Rootless Container特性,该特性允许非特权用户运行Docker,提高了安全性。文章详细阐述了Rootless容器的背景、架构,包括user namespaces和SLiRP网络方案,并提供了环境准备与验证步骤。虽然Rootless容器在网络和存储性能上还有优化空间,但其在提升容器安全隔离性和适用场景方面迈出了一步。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

近期Docker 19.03中发布了一个重要的特性 “Rootless Container支持”。趁着五一假期,快速验证一下。本文参考了Experimenting with Rootless Docker 一文的内容,并且补充了更多的细节和上手内容。

Rootless容器背景与架构

Docker和Kubernetes已经成为企业IT架构的基础设施,其自身安全越来越被关注。Docker基于Linux操作系统提供了应用虚拟化能力,通过namespace, cgroup实现了资源的隔离和配额约束。Docker Engine是一个典型的 Client-Server 结构:

Docker Client (TCP/Unix Socket) -> Docker Daemon (Parent/Child Processes) -> Container

由于Linux需要特权用户来创建namespace,挂载分层文件系统等,所以 Docker Daemon 一直以来是以root用户来运行的。这也导致了有Docker访问权限的用户可以通过连接Docker Engine获取root权限,而且可以绕开系统的审计能力对系统进行攻击。这阻碍了容器在某些场景的应用:比如在高性能计算领域,由于传统的资源管理和调度系统需要非特权用户来运行容器,社区实现了另外的容器运行时Singularity 。

Moby社区的 Akihiro Suda,为Docker Engine和Buildkit贡献了rootless容器支持,让Docker Engine以非特权用户方式运行,更好地复用Linux的安全体系。

注意:

  1. 目前rootless容器还在实验阶段,cgroups 资源控制, apparmor安全配置, checkpoint/restore等能力还不支持。
  2. 目前只有Ubuntu提供了在rootless模式下对overlay fs的支持,由于安全顾虑,这个方案尚未得到upstream的支持。其他操作系统需要利用VFS存储驱动,有一定性能影响,并不适合I/O密集型应用。

Rootless容器有几个核心技术

首先是利用 user namespaces 将容器中的root用户uid/gid映射到宿主机的非特权用户范围内。Docker Engine已经提供了 --userns-remap 标志支持了相关能力,提升了容器

最低0.47元/天 解锁文章

200万优质内容无限畅学
docker安装错误:错误:软件包:docker-ce-rootless-extras-20.10.17-3.el7.x86_64 (docker-ce-stable) 需要:slirp4netns
weixin_45753881的博客
08-31 3647
错误:软件包:docker-ce-rootless-extras-20.10.17-3.el7.x86_64 (docker-ce-stable) 需要:slirp4netns >= 0.4 错误:软件包:docker-ce-rootless-extras-20.10.17-3.el7.x86_64 (docker-ce-stable) 需要:fuse-overlayfs >= 0.7 错误:软件包:3:docker-ce-20.10.17-3.el7.x86_64
Podman容器之签名分发与网络
时羽天的博客
08-16 1448
Podman容器签名分发、Podman远程客户端、Podman网络
rootless无根容器
flynetcn的专栏
05-08 744
无根容器是一个新的容器概念,它不需要root权限即可制定。
Docker引擎Rootless模式深度解析:以非root用户安全运行容器
最新发布
gitblog_00775的博客
06-10 429
Docker引擎Rootless模式深度解析:以非root用户安全运行容器 什么是Rootless模式? Rootless模式是Docker引擎的一项安全特性,它允许用户以非root用户身份运行Docker守护进程和容器。这种模式通过用户命名空间(user namespace)技术实现,能够有效降低潜在的安全风险,即使Docker守护进程或容器运行时存在缺陷,攻击者也无法获取宿主机的root权限。...
containerd-rootless安装
m0_66570838的博客
10-31 1558
接下来要根据文档3配置一下cni网络,不过上面的错误信息提示要把cni放到/opt/cni/bin下,这个操作的citrix中/opt我没有写权限。上述指定路径到/containerd,然后把cni的配置就可以直接配置到/containerd下,不用再配置到/opt/cni/bin下了。上面下载的cni需要放到/opt/cni/bin下,在citrix中不知道可不可以。然后在root用户下把cni放到/opt/cni/bin下试一下。通过查阅,上述问题可能与主目录的文件系统有关,以下配置可能有效。
推荐开源项目:slirp4netns —— 为非特权网络命名空间提供用户模式网络
gitblog_00025的博客
05-19 732
推荐开源项目:slirp4netns —— 为非特权网络命名空间提供用户模式网络 在深入技术世界之前,先来简单介绍一下slirp4netns。这是一个用于非特权网络命名空间的用户模式网络工具,它通过连接到用户级TCP/IP堆栈(即“slirp”)来为无权限的网络命名空间提供互联网连接功能。这个项目旨在解决从Linux 3.8版本起,非特权用户创建网络命名空间却无法与外部网络通信的问题。 技术分析 ...
slirp4netns:非特权网络名称空间的用户模式联网
05-14
slirp4netns:非特权网络名称空间的用户模式联网 slirp4netns为非特权网络名称空间提供用户模式网络(“ slirp”)。 动机 从Linux 3.8开始,非特权用户可以与一起创建 user_namespaces(7) 。 但是,非特权网络名称空间并不是很有用,因为在主机和网络名称空间上创建veth(4)对仍然需要root特权。 (即没有互联网连接) slirp4netns允许通过将网络名称空间中的TAP设备连接到用户模式TCP / IP堆栈( “ slirp” ),以完全无特权的方式将网络名称空间连接到Internet。 使用slirp4netns的项目 Kubernetes发行版: 用户网(通过RootlessKit ) k3s (通过RootlessKit ) 集装箱发动机: Podman Buildah ctnr (通过slirp -cni-plug
docker-ce-rootless-extras-20.10.14-3.el8.x86_64.rpm
04-26
docker-ce-rootless-extras-20.10.14-3.el8.x86_64.rpm
docker-rootless-extras-20.10.24.tgz
01-26
docker-rootless-extras-20.10.24.tgz
docker-rootless
03-17
Docker Rootless】——在无特权环境中畅游容器世界 ...对于那些希望在非 root 环境中使用 Docker 的开发者来说,Docker Rootless 是一个值得尝试的选择,它为容器化应用提供了更安全、灵活的部署方式。
podman
weixin_60012466的博客
12-14 2971
podman 文章目录podman什么是podman?概述和范围路线图podman的安装poman 的常用命令:普通用户使用podman的方式 什么是podman? 官网 podman (podman.io) ​ Podman是一个开源项目,可以在大多数Linux平台上使用,可将代码放在[GitHub]上。Podman 是一个无守护容器引擎,用于在 Linux 系统上开发、管理和运行开放容器计划 (OCI) 容器容器映像。Podman 提供了一个与 Docker 兼容的命令行前端,可以简单地别名
slirp4netns-0.4.3-4.el7-8.x64-86.rpm.tar.gz
02-03
1、文件内容:slirp4netns-0.4.3-4.el7_8.rpm以及相关依赖 2、文件形式:tar.gz压缩包 3、安装指令: #Step1、解压 tar -zxvf /mnt/data/output/slirp4netns-0.4.3-4.el7_8.tar.gz #Step2、进入解压后的目录,执行安装 sudo rpm -ivh *.rpm 4、安装指导:私信博主,全程指导安装
slirp4netns 项目推荐
gitblog_00009的博客
11-22 400
slirp4netns 项目推荐 项目基础介绍和主要编程语言 slirp4netns 是一个开源项目,主要用于为无特权的网络命名空间提供用户模式网络("slirp")。该项目的主要编程语言是 C,同时也包含一些 Shell 脚本和 Makefile 文件。 项目核心功能 slirp4netns 的核心功能是为无特权的网络命名空间提供网络连接。它通过在网络命名空间中创建一个 TA...
Docker Rootless 在非特权模式下运行 Docker
cr7258的博客
12-26 5524
Docker Rootless 基本概念 Rootless 模式允许以非 root 用户身份运行 Docker 守护进程(dockerd)和容器,以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的,在 Docker v20.10 版本 GA。 Rootless 模式目前对 Cgroups 资源控制,Apparmor 安全配置,Overlay 网络,存储驱动等还有一定的限制,暂时还不能完全取代 “Rootful” Dock
docker系列】使用非root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 2万+
字母哥只出精品原创,使用非root用户安装及启动docker(rootless模式运行)
探索 slirp4netns:无特权网络命名空间的用户模式网络解决方案
gitblog_00328的博客
08-13 597
探索 slirp4netns:无特权网络命名空间的用户模式网络解决方案 项目介绍 slirp4netns 是一个为无特权网络命名空间提供用户模式网络("slirp")的工具。自Linux 3.8版本起,无特权用户可以创建网络命名空间和用户命名空间,但由于创建跨主机和网络命名空间的veth对仍需要root权限,这些无特权网络命名空间并未得到广泛应用。slirp4netns通过将网...
yum安装docker报错
下一个艺术家
02-17 4073
错误:软件包:docker-ce-rootless-extras-20.10.3-3.el7.x86_64 (docker-ce-stable) 需要:slirp4netns >= 0.4 错误:软件包:3:docker-ce-20.10.3-3.el7.x86_64 (docker-ce-stable) 需要:container-selinux >= 2:2.74 错误:软件包:containerd.io-1.4.3-3.1.el7.x86_64 (docker-c
podman的使用
的博客
08-13 743
podman的使用 设置别名 [root@hzy ~]# alias alias cp='cp -i' alias docker='podman' 拉取镜像 [root@hzy ~]# docker pull nginx Resolving "nginx" using unqualified-search registries (/etc/containers/registries.conf) Trying to pull docker.io/library/nginx:latest... Getting
Error: Problem: package docker-ce-3:26.1.3-1.el7.aarch64 requires docker-ce-rootless-extras, but none of the providers can be installed - conflicting requests - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.0-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.0-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.1-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.1-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.10-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.10-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.11-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.11-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.12-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.12-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.13-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.13-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.14-3.el7.aarch64 - nothing provides slirp4netns >= 0.4 needed by docker-ce-rootless-extras-20.10.14-3.el7.aarch64 - nothing provides fuse-overlayfs >= 0.7 needed by docker-ce-rootless-extras-20.10.15-3.el7.aarch64
04-02
这两个包是容器存储和网络所需的,可能在较新的Docker版本中需要,而默认的仓库里可能没有这些包。 首先,我应该检查这些依赖是否在官方仓库中存在。EL7通常指的是CentOS 7或RHEL 7,但用户使用的是aarch64架构,这...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值