最后更新于
最后更新于
Docker的授权模型是全有或全无的。任何具有访问Docker守护程序权限的用户都可以运行任何Docker客户端命令。对于使用Docker的Engine API联系守护程序的调用方也是如此。如果您需要更精细的访问控制,可以创建授权插件并将其添加到Docker守护程序配置中。使用授权插件,Docker管理员可以为管理对Docker守护程序的访问配置细粒度访问策略。
Docker Auth插件是您可以使用的外部插件,用于根据请求守护程序的用户和请求的操作来允许/拒绝发送到Docker守护程序的操作。
当通过CLI或通过Engine API向Docker 守护程序发出HTTP请求时,身份验证子系统将请求传递给已安装的身份验证插件。请求包含用户(调用方)和命令上下文。插件负责决定是否允许或拒绝请求。
下面的序列图描述了允许和拒绝授权流程:
发送到插件的每个请求包括经过身份验证的用户、HTTP头和请求/响应正文。只传递用户名和使用的身份验证方法给插件。最重要的是,不会传递用户凭据或令牌。最后,并非所有请求/响应正文都会发送到授权插件。只有Content-Type
为text/*
或application/json
的请求/响应正文会被发送。
对于可能劫持HTTP连接的命令(如exec
)等命令,授权插件仅在初始HTTP请求时调用。一旦插件批准命令,授权就不会应用于其余流程。具体来说,流式数据不会传递给授权插件。对于返回分块HTTP响应的命令,如logs
和events
,只有HTTP请求会发送到授权插件。
在请求/响应处理期间,某些授权流可能需要对Docker守护程序进行额外查询。为了完成这样的流程,插件可以调用类似于常规用户的守护程序API。为了启用这些额外查询,插件必须提供管理员配置适当的身份验证和安全策略的手段。
您负责在Docker守护程序启动时注册您的插件。您可以安装多个插件并将它们链接在一起。此链可以排序。每个传递到守护程序的请求都会按顺序通过链。只有当所有插件都授予对资源的访问权限时,访问权限才会被授予。
这是一个示例,允许Alice和Bob创建新容器:{"name":"policy_3","users":["alice","bob"],"actions":["container_create"]}
阅读README
和plugin.go
代码以了解其工作原理。
要检查的主要内容是允许的端点和允许的HostConfig值。
run --privileged
在这种情况下,系统管理员禁止用户挂载卷并使用--privileged
标志运行容器或为容器提供任何额外的功能:
然而,用户可以在运行的容器内创建一个 shell 并赋予它额外的权限:
在这种情况下,系统管理员禁止用户使用--privileged
标志运行容器或为容器提供任何额外的功能,只允许挂载/tmp
文件夹:
请注意,您可能无法挂载文件夹 /tmp
,但可以挂载其他可写文件夹。您可以使用以下命令查找可写目录:find / -writable -type d 2>/dev/null
请注意,并非 Linux 机器上的所有目录都支持 suid 位! 为了检查哪些目录支持 suid 位,请运行 mount | grep -v "nosuid"
。例如,通常 /dev/shm
、/run
、/proc
、/sys/fs/cgroup
和 /var/lib/lxcfs
不支持 suid 位。
还要注意,如果您可以挂载 /etc
或包含配置文件的任何其他文件夹,您可以在 docker 容器中以 root 身份更改它们,以便在主机中滥用它们并提升权限(也许修改 /etc/shadow
)
配置此插件的系统管理员的责任是控制每个用户可以执行哪些操作以及具有哪些特权。因此,如果管理员采用黑名单方法处理端点和属性,可能会忘记一些可能允许攻击者提升权限的端点。
请注意,在此示例中,我们将**Binds
参数作为JSON中的根级键使用,但在API中,它出现在HostConfig
**键下面。
按照根目录中的Binds的相同指示,执行以下请求到Docker API:
按照与在根目录中绑定相同的说明,执行以下请求到Docker API:
按照与根目录中的绑定相同的说明,执行以下对Docker API的请求:
HostConfig
通常包含从容器中逃脱的有趣 特权的关键。然而,正如我们之前讨论过的,注意如何在其外部使用Binds也可以起作用,并且可能允许您绕过限制。
如果系统管理员忘记禁止禁用插件的能力,您可以利用这一点完全禁用它!
记得在提升权限后重新启用插件,否则重启docker服务不会生效!
插件允许您创建一个简单的JSON文件,插件将读取以授权请求。因此,它为您提供了很容易控制哪些API端点可以被每个用户访问的机会。
在页面中,您可以找到请求的URL与操作之间的关系。在页面中,您可以找到操作名称与操作之间的关系
您可以在这里找到一个易于理解的插件,其中包含有关安装和调试的详细信息:
要执行此枚举,您可以使用工具。
现在,用户可以使用任何来逃离容器,并在主机内提升权限。
您可以在 中查看 docker API。
当系统管理员配置 docker 防火墙时,可能忘记了的一些重要参数,比如 "Binds"。 在以下示例中,可以利用此配置错误创建和运行一个容器,该容器挂载主机的根目录 (/):
当系统管理员配置 Docker 防火墙时,有可能忘记了某些参数的重要属性,比如中的 "Capabilities" 在 "HostConfig" 内部。在下面的示例中,可以利用这个配置错误来创建并运行一个具有 SYS_MODULE 能力的容器: