安全特性

seccomp安全配置场景

场景说明

seccomp(secure computing mode)是linux kernel从2.6.23版本开始引入的一种简洁的sandboxing机制。在一些特定场景下,用户需要在容器中执行一些“特权”操作,但又不想启动特权容器,用户经常会在run时添加—cap-add来获得一些“小范围”的权限。对于安全要求比较严格的容器实例,上述的CAP粒度不一定能够满足安全需要,可使用一些办法精细化控制权限范围。

  • 举例

    普通容器场景中,用户使用-v将宿主机某目录(包含某普通用户无法执行的二进制),映射到容器中。

    在容器中,可以将二进制修改权限chmod 4777加入S标志位。这样在宿主机上,原先不能运行二进制的普通用户(或者运行此二进制受限),可以在S标志位的添加动作后,在运行此二进制的时候,获取到二进制自身的权限(比如root),从而提权运行或者访问其他文件。

    这个场景,如果在严格安全要求下,需要使用seccomp裁剪chmod、fchmod、fchmodat系统调用。

使用限制

  • seccomp可能会影响性能,设置seccomp之前需要对场景进行评估,确定必要时加入seccomp配置。

使用指导

通过—security-opt将配置文件传给要过滤系统调用的容器。

  1. isula run -itd --security-opt seccomp=/path/to/seccomp/profile.json rnd-dockerhub.huawei.com/official/busybox

安全特性 - 图1 说明:

  1. 创建容器时通过—security-opt将配置文件传给容器时,采用默认配置文件(/etc/isulad/seccomp_default.json)。
  2. 创建容器时—security-opt设置为unconfined时,对容器不过滤系统调用。
  3. “/path/to/seccomp/profile.json”需要是绝对路径。

获取普通容器的默认seccomp配置

  • 启动一个普通容器(或者是带—cap-add的容器),并查看默认权限配置:

    1. cat /etc/isulad/seccomp_default.json | python -m json.tool > profile.json

    可以看到”seccomp”字段中,有很多的”syscalls”,在此基础上,仅提取syscalls的部分,参考定制seccomp配置文件,进行定制化操作。

    1. "defaultAction": "SCMP_ACT_ERRNO",
    2. "syscalls": [
    3. {
    4. "action": "SCMP_ACT_ALLOW",
    5. "name": "accept"
    6. },
    7. {
    8. "action": "SCMP_ACT_ALLOW",
    9. "name": "accept4"
    10. },
    11. {
    12. "action": "SCMP_ACT_ALLOW",
    13. "name": "access"
    14. },
    15. {
    16. "action": "SCMP_ACT_ALLOW",
    17. "name": "alarm"
    18. },
    19. {
    20. "action": "SCMP_ACT_ALLOW",
    21. "name": "bind"
    22. },
    23. ]...
  • 查看转换为lxc可识别的seccomp配置

    1. cat /var/lib/isulad/engines/lcr/74353e38021c29314188e29ba8c1830a4677ffe5c4decda77a1e0853ec8197cd/seccomp
    1. ...
    2. waitpid allow
    3. write allow
    4. writev allow
    5. ptrace allow
    6. personality allow [0,0,SCMP_CMP_EQ,0]
    7. personality allow [0,8,SCMP_CMP_EQ,0]
    8. personality allow [0,131072,SCMP_CMP_EQ,0]
    9. personality allow [0,131080,SCMP_CMP_EQ,0]
    10. personality allow [0,4294967295,SCMP_CMP_EQ,0]
    11. ...

定制seccomp配置文件

在启动容器的时候使用—security-opt引入seccomp配置文件,容器实例会按照配置文件规则进行限制系统API的运行。首先获取普通容器的默认seccomp,得到完整模板,然后按照本节定制配置文件,启动容器:

  1. isula run --rm -it --security-opt seccomp:/path/to/seccomp/profile.json rnd-dockerhub.huawei.com/official/busybox

配置文件模板:

  1. {
  2. "defaultAction": "SCMP_ACT_ALLOW",
  3. "syscalls": [
  4. {
  5. "name": "syscall-name",
  6. "action": "SCMP_ACT_ERRNO",
  7. "args": null
  8. }
  9. ]
  10. }

安全特性 - 图2 须知:

  • defaultAction、syscalls:对应的action的类型是一样的,但其值是不能一样的,目的就是让所有的syscal都有一个默认的action,并且如果syscalls数组中有明确的定义,就以syscalls中的为准,由于defaultAction、action的值不一样,就能保证action不会有冲突。当前支持的action有:
    “SCMP_ACT_ERRNO”:禁止,并打印错误信息。
    “SCMP_ACT_ALLOW”:允许。
  • syscalls: 数组,可以只有一个syscall,也可以有多个,可以带args,也可以不带。
  • name:要过滤的syscall。
  • args:数组,里面的每个object的定义如下:
    1. type Arg struct {
    2. Index uint `json:"index"` //参数的序号,如open(fd, buf, len),fd 对应的就是0,buf为1
    3. Value uint64 `json:"value"` //跟参数进行比较的值
    4. ValueTwo uint64 `json:"value_two"` //仅当Op=MaskEqualTo时起作用,用户传入值跟Value按位与操作后,跟ValueTwo进行比较,若相等则执行action。
    5. Op Operator `json:"op"`
    6. }
    args中的Op,其取值可以下页面的任意一种:
    “SCMP_CMP_NE”: NotEqualTo
    “SCMP_CMP_LT”: LessThan
    “SCMP_CMP_LE”: LessThanOrEqualTo
    “SCMP_CMP_EQ”: EqualTo
    “SCMP_CMP_GE”: GreaterThanOrEqualTo
    “SCMP_CMP_GT”: GreaterThan
    “SCMP_CMP_MASKED_EQ”: MaskEqualTo

capabilities安全配置场景

场景说明

capabilities机制是linux kernel 2.2之后引入的安全特性,用更小的粒度控制超级管理员权限,可以避免使用 root 权限,将root用户的权限细分为不同的领域,可以分别启用或禁用。capabilities详细信息可通过Linux Programmer’s Manual进行查看(capabilities(7) - Linux man page):

  1. man capabilities

使用限制

  • isulad默认Capabilities(白名单)配置如下,普通容器进程将默认携带:

    1. "CAP_CHOWN",
    2. "CAP_DAC_OVERRIDE",
    3. "CAP_FSETID",
    4. "CAP_FOWNER",
    5. "CAP_MKNOD",
    6. "CAP_NET_RAW",
    7. "CAP_SETGID",
    8. "CAP_SETUID",
    9. "CAP_SETFCAP",
    10. "CAP_SETPCAP",
    11. "CAP_NET_BIND_SERVICE",
    12. "CAP_SYS_CHROOT",
    13. "CAP_KILL",
    14. "CAP_AUDIT_WRITE"
  • 默认的权能配置,包含了CAP_SETUID和CAP_FSETID,如host和容器共享目录,容器可对共享目录的二进制文件进行文件权限设置,host上的普通用户可能使用该特性进行提权攻击。CAP_AUDIT_WRITE,容器可以对host写入,存在一定的风险,如果使用场景不需要,推荐在启动容器的时候使用—cap-drop将其删除。

  • 增加Capabilities意味着容器进程具备更大的能力,同时也会开放更多的系统调用接口。

使用指导

iSulad使用—cap-add/—cap-drop给容器增加/删去特定的权限,在非必要情况下,不要给容器增加额外的权限,推荐将容器默认但非必要的权限也去掉。

  1. isula run --rm -it --cap-add all --cap-drop SYS_ADMIN rnd-dockerhub.huawei.com/official/busybox

SELinux安全配置场景

场景说明

SELinux(Security-Enhanced Linux)是一个Linux内核的安全模块,提供了访问控制安全策略机制,iSulad将采用MCS(多级分类安全)实现对容器内进程打上标签限制容器访问资源的方式,减少提权攻击的风险,防止造成更为重要的危害。

使用限制

  • 确保宿主机已使能SELinux,且daemon端已打开SELinux使能开发(/etc/isulad/daemon.json中“selinux-enabled”字段为true, 或者命令行参数添加—selinux-enabled)
  • 确保宿主机上已配置合适的selinux策略,推荐使用container-selinux进行配置
  • 引入SELinux会影响性能,设置SELinux之前需要对场景进行评估,确定必要时打开daemon端SELinux开关并设置容器SELinux配置
  • 对挂载卷进行标签配置时,源目录不允许为/、/usr、/etc、/tmp、/home、/run、/var、/root以及/usr的子目录。

安全特性 - 图3 说明:

  • 目前iSulad不支持对容器的文件系统打标签,确保容器文件系统及配置目录打上容器可访问标签,需使用chcon命令对其打上标签。
  • 若iSulad启用SELinux访问控制,建议daemon启动前对/var/lib/isulad目录打上标签,容器容器创建时目录下生产的文件及文件夹将默认继承其标签,例如:
    1. chcon -R system_u:object_r:container_file_t:s0 /var/lib/isulad

使用指导

  • daemon端使能selinux:

    1. isulad --selinux-enabled
  • 启动容器时配置selinux标签安全上下文

    —security-opt=”label=user:USER” 配置安全上下文用户

    —security-opt=”label=role:ROLE” 配置安全上下文角色

    —security-opt=”label=type:TYPE” 配置安全上下文类型

    —security-opt=”label=level:LEVEL” 配置安全上下文域

    —security-opt=”label=disable” 容器禁用SELinux配置

    1. $ isula run -itd --security-opt label=type:container_t --security-opt label=level:s0:c1,c2 rnd-dockerhub.huawei.com/official/centos
    2. 9be82878a67e36c826b67f5c7261c881ff926a352f92998b654bc8e1c6eec370
  • 为挂载卷打selinux标签(‘z’为共享模式)

    1. $ isula run -itd -v /test:/test:z rnd-dockerhub.huawei.com/official/centos
    2. 9be82878a67e36c826b67f5c7261c881ff926a352f92998b654bc8e1c6eec370
    3. $ls -Z /test
    4. system_u:object_r:container_file_t:s0 file