Docker --privileged
Was beeinflusst wird
Wenn Sie einen Container als privilegiert ausführen, werden die folgenden Schutzmaßnahmen deaktiviert:
Mounten von /dev
In einem privilegierten Container können alle Geräte in /dev/
zugegriffen werden. Dadurch können Sie durch Mounten der Festplatte des Hosts ausbrechen.
Schreibgeschützte Kernel-Dateisysteme
Kernel-Dateisysteme bieten einen Mechanismus, um das Verhalten des Kernels zu ändern. Wenn es jedoch um Container-Prozesse geht, möchten wir verhindern, dass sie Änderungen am Kernel vornehmen. Daher mounten wir Kernel-Dateisysteme als schreibgeschützt innerhalb des Containers, um sicherzustellen, dass die Container-Prozesse den Kernel nicht ändern können.
Maskierung über Kernel-Dateisysteme
Das /proc-Dateisystem ist selektiv beschreibbar, aber aus Sicherheitsgründen sind bestimmte Teile vor Schreib- und Lesezugriffen geschützt, indem sie mit tmpfs überlagert werden, um sicherzustellen, dass Container-Prozesse nicht auf sensible Bereiche zugreifen können.
tmpfs ist ein Dateisystem, das alle Dateien im virtuellen Speicher speichert. tmpfs erstellt keine Dateien auf Ihrer Festplatte. Wenn Sie ein tmpfs-Dateisystem aushängen, gehen alle darin befindlichen Dateien für immer verloren.
Linux-Fähigkeiten
Container-Engines starten Container standardmäßig mit einer begrenzten Anzahl von Fähigkeiten, um zu kontrollieren, was innerhalb des Containers passiert. Privilegierte Container haben alle Fähigkeiten zugänglich. Um mehr über Fähigkeiten zu erfahren, lesen Sie:
pageLinux CapabilitiesSie können die für einen Container verfügbaren Fähigkeiten manipulieren, ohne im --privileged
-Modus zu laufen, indem Sie die Flags --cap-add
und --cap-drop
verwenden.
Seccomp
Seccomp ist nützlich, um die Systemaufrufe einzuschränken, die ein Container aufrufen kann. Ein Standard-Seccomp-Profil ist standardmäßig aktiviert, wenn Docker-Container ausgeführt werden, aber im privilegierten Modus ist es deaktiviert. Erfahren Sie hier mehr über Seccomp:
pageSeccompAuch beachten Sie, dass wenn Docker (oder andere CRIs) in einem Kubernetes-Cluster verwendet werden, ist der seccomp-Filter standardmäßig deaktiviert.
AppArmor
AppArmor ist eine Kernel-Erweiterung, um Container auf eine begrenzte Anzahl von Ressourcen mit programmspezifischen Profilen einzuschränken. Wenn Sie mit dem --privileged
-Flag ausführen, ist dieser Schutz deaktiviert.
SELinux
Das Ausführen eines Containers mit dem --privileged
-Flag deaktiviert SELinux-Labels, wodurch es das Label des Container-Engines erbt, normalerweise unconfined
, was vollen Zugriff ähnlich wie der Container-Engine gewährt. Im rootless-Modus wird container_runtime_t
verwendet, während im Root-Modus spc_t
angewendet wird.
Was nicht beeinflusst wird
Namespaces
Namespaces werden NICHT von dem --privileged
Flag beeinflusst. Obwohl sie keine Sicherheitsbeschränkungen aktiviert haben, sehen sie zum Beispiel nicht alle Prozesse im System oder im Host-Netzwerk. Benutzer können einzelne Namespaces deaktivieren, indem sie die Container-Engine-Flags --pid=host
, --net=host
, --ipc=host
, --uts=host
verwenden.
Benutzernamensraum
Standardmäßig verwenden Container-Engines keinen Benutzernamensraum, außer für rootless Container, die sie für das Einhängen des Dateisystems und die Verwendung mehrerer Benutzer-IDs benötigen. Benutzernamensräume, die für rootless Container unerlässlich sind, können nicht deaktiviert werden und verbessern die Sicherheit erheblich, indem sie Privilegien einschränken.
Referenzen
Last updated