安全特性
seccomp安全配置场景
场景说明
seccomp(secure computing mode)是linux kernel从2.6.23版本开始引入的一种简洁的sandboxing机制。在一些特定场景下,用户需要在容器中执行一些“特权”操作,但又不想启动特权容器,用户经常会在run时添加--cap-add来获得一些“小范围”的权限。对于安全要求比较严格的容器实例,上述的CAP粒度不一定能够满足安全需要,可使用一些办法精细化控制权限范围。
举例
普通容器场景中,用户使用-v将宿主机某目录(包含某普通用户无法执行的二进制),映射到容器中。
在容器中,可以将二进制修改权限chmod 4777加入S标志位。这样在宿主机上,原先不能运行二进制的普通用户(或者运行此二进制受限),可以在S标志位的添加动作后,在运行此二进制的时候,获取到二进制自身的权限(比如root),从而提权运行或者访问其他文件。
这个场景,如果在严格安全要求下,需要使用seccomp裁剪chmod、fchmod、fchmodat系统调用。
使用限制
不要禁用iSulad的seccomp特性
默认的iSulad有一个seccomp的配置,配置中使用的是白名单,不在配置的sys_call会被seccomp禁掉,使用接口--security-opt 'seccomp:unconfined'可以禁止使用seccomp特性。如果禁用seccomp或使用自定义seccomp配置但过滤名单不全,都会增加容器对内核的攻击面。
默认的Seccomp配置是白名单,不在白名单的syscall默认会返回SCMP_ACT_ERRNO,同时会根据不同的Cap开放不同的系统调用,不在白名单上面的权限,iSulad默认不会将权限给到容器。
使用指导
通过--security-opt将配置文件传给要过滤系统调用的容器。
isula run -itd --security-opt seccomp=/path/to/seccomp/profile.json rnd-dockerhub.huawei.com/official/busybox
说明:
- 创建容器时通过--security-opt将配置文件传给容器时,采用默认配置文件(/etc/isulad/seccomp_default.json)。
- 创建容器时--security-opt设置为unconfined时,对容器不过滤系统调用。
- “/path/to/seccomp/profile.json”需要是绝对路径。
- --security-opt采用“=”号进行分割,不支持使用“:”号分割。
获取普通容器的默认seccomp配置
启动一个普通容器(或者是带--cap-add的容器),并查看默认权限配置:
cat /etc/isulad/seccomp_default.json | python -m json.tool > profile.json
可以看到"seccomp"字段中,有很多的"syscalls",在此基础上,仅提取syscalls的部分,参考定制seccomp配置文件,进行定制化操作。
"defaultAction": "SCMP_ACT_ERRNO", "syscalls": [ { "action": "SCMP_ACT_ALLOW", "name": "accept" }, { "action": "SCMP_ACT_ALLOW", "name": "accept4" }, { "action": "SCMP_ACT_ALLOW", "name": "access" }, { "action": "SCMP_ACT_ALLOW", "name": "alarm" }, { "action": "SCMP_ACT_ALLOW", "name": "bind" }, ]...
查看转换为lxc可识别的seccomp配置
cat /var/lib/isulad/engines/lcr/74353e38021c29314188e29ba8c1830a4677ffe5c4decda77a1e0853ec8197cd/seccomp
... waitpid allow write allow writev allow ptrace allow personality allow [0,0,SCMP_CMP_EQ,0] personality allow [0,8,SCMP_CMP_EQ,0] personality allow [0,131072,SCMP_CMP_EQ,0] personality allow [0,131080,SCMP_CMP_EQ,0] personality allow [0,4294967295,SCMP_CMP_EQ,0] ...
定制seccomp配置文件
在启动容器的时候使用--security-opt引入seccomp配置文件,容器实例会按照配置文件规则进行限制系统API的运行。首先获取普通容器的默认seccomp,得到完整模板,然后按照本节定制配置文件,启动容器:
isula run --rm -it --security-opt seccomp:/path/to/seccomp/profile.json rnd-dockerhub.huawei.com/official/busybox
配置文件模板:
{
"defaultAction": "SCMP_ACT_ALLOW",
"syscalls": [
{
"name": "syscall-name",
"action": "SCMP_ACT_ERRNO",
"args": null
}
]
}
须知:
- defaultAction、syscalls:对应的action的类型是一样的,但其值是不能一样的,目的就是让所有的syscall都有一个默认的action,并且如果syscalls数组中有明确的定义,就以syscalls中的为准,由于defaultAction、action的值不一样,就能保证action不会有冲突。当前支持的action有:
"SCMP_ACT_ERRNO":禁止,并打印错误信息。
"SCMP_ACT_ALLOW":允许。- syscalls: 数组,可以只有一个syscall,也可以有多个,可以带args,也可以不带。
- name:要过滤的syscall。
- args:数组,里面的每个object的定义如下:
type Arg struct { Index uint `json:"index"` //参数的序号,如open(fd, buf, len),fd 对应的就是0,buf为1 Value uint64 `json:"value"` //跟参数进行比较的值 ValueTwo uint64 `json:"value_two"` //仅当Op=MaskEqualTo时起作用,用户传入值跟Value按位与操作后,跟ValueTwo进行比较,若相等则执行action。 Op Operator `json:"op"` }
args中的Op,其取值可以下页面的任意一种:
"SCMP_CMP_NE": NotEqualTo
"SCMP_CMP_LT": LessThan
"SCMP_CMP_LE": LessThanOrEqualTo
"SCMP_CMP_EQ": EqualTo
"SCMP_CMP_GE": GreaterThanOrEqualTo
"SCMP_CMP_GT": GreaterThan
"SCMP_CMP_MASKED_EQ": MaskEqualTo
capabilities安全配置场景
场景说明
capabilities机制是linux kernel 2.2之后引入的安全特性,用更小的粒度控制超级管理员权限,可以避免使用 root 权限,将root用户的权限细分为不同的领域,可以分别启用或禁用。capabilities详细信息可通过Linux Programmer's Manual进行查看(capabilities(7) - Linux man page):
man capabilities
使用限制
isulad默认Capabilities(白名单)配置如下,普通容器进程将默认携带:
"CAP_CHOWN", "CAP_DAC_OVERRIDE", "CAP_FSETID", "CAP_FOWNER", "CAP_MKNOD", "CAP_NET_RAW", "CAP_SETGID", "CAP_SETUID", "CAP_SETFCAP", "CAP_SETPCAP", "CAP_NET_BIND_SERVICE", "CAP_SYS_CHROOT", "CAP_KILL", "CAP_AUDIT_WRITE"
默认的权能配置,包含了CAP_SETUID和CAP_FSETID,如host和容器共享目录,容器可对共享目录的二进制文件进行文件权限设置,host上的普通用户可能使用该特性进行提权攻击。CAP_AUDIT_WRITE,容器可以对host写入,存在一定的风险,如果使用场景不需要,推荐在启动容器的时候使用--cap-drop将其删除。
增加Capabilities意味着容器进程具备更大的能力,同时也会开放更多的系统调用接口。
使用指导
iSulad使用--cap-add/--cap-drop给容器增加/删去特定的权限,在非必要情况下,不要给容器增加额外的权限,推荐将容器默认但非必要的权限也去掉。
isula run --rm -it --cap-add all --cap-drop SYS_ADMIN rnd-dockerhub.huawei.com/official/busybox
SELinux安全配置场景
场景说明
SELinux(Security-Enhanced Linux)是一个Linux内核的安全模块,提供了访问控制安全策略机制,iSulad将采用MCS(多级分类安全)实现对容器内进程打上标签限制容器访问资源的方式,减少提权攻击的风险,防止造成更为重要的危害。
使用限制
- 确保宿主机已使能SELinux,且daemon端已打开SELinux使能开发(/etc/isulad/daemon.json中“selinux-enabled”字段为true, 或者命令行参数添加--selinux-enabled)
- 确保宿主机上已配置合适的selinux策略,推荐使用container-selinux进行配置
- 引入SELinux会影响性能,设置SELinux之前需要对场景进行评估,确定必要时打开daemon端SELinux开关并设置容器SELinux配置
- 对挂载卷进行标签配置时,源目录不允许为/、/usr、/etc、/tmp、/home、/run、/var、/root以及/usr的子目录。
说明:
- 目前iSulad不支持对容器的文件系统打标签,确保容器文件系统及配置目录打上容器可访问标签,需使用chcon命令对其打上标签。
- 若iSulad启用SELinux访问控制,建议daemon启动前对/var/lib/isulad目录打上标签,容器容器创建时目录下生产的文件及文件夹将默认继承其标签,例如:
chcon -R system_u:object_r:container_file_t:s0 /var/lib/isulad
使用指导
daemon端使能selinux:
isulad --selinux-enabled
启动容器时配置selinux标签安全上下文
--security-opt="label=user:USER" 配置安全上下文用户
--security-opt="label=role:ROLE" 配置安全上下文角色
--security-opt="label=type:TYPE" 配置安全上下文类型
--security-opt="label=level:LEVEL" 配置安全上下文域
--security-opt="label=disable" 容器禁用SELinux配置
$ isula run -itd --security-opt label=type:container_t --security-opt label=level:s0:c1,c2 rnd-dockerhub.huawei.com/official/centos 9be82878a67e36c826b67f5c7261c881ff926a352f92998b654bc8e1c6eec370
为挂载卷打selinux标签('z'为共享模式)
$ isula run -itd -v /test:/test:z rnd-dockerhub.huawei.com/official/centos 9be82878a67e36c826b67f5c7261c881ff926a352f92998b654bc8e1c6eec370 $ls -Z /test system_u:object_r:container_file_t:s0 file