Docker Capabilities

Publicado por Mundo Docker em 28/08/2015

[ Hits: 2.855 ]

Blog: http://www.mundodocker.com.br

 


Docker Capabilities



Olá!

Hoje vamos ver algumas features de segurança que pertencem não apenas ao Docker, mas sim ao LXC (uma das tecnologias utilizadas pelo Docker), são as capabilities.

Em sistemas Unix like, há basicamente duas categorias de processos: processos privilegiados, que executam com ID 0 (superusuário) e os não-privilegiados, que executam com ID maior que 0.

Basicamente os processos privilegiados ignoram todas as verificações de permissões de kernel, enquanto os processos não-privilegiados estão sujeitos a algumas checagens para sua correta execução, normalmente: UID efetivo (usuário dono do arquivo/binário, etc), GID efetivos (grupo dono do arquivo/binário, etc) ou lista de grupo suplementar (mais conhecidas como ACL's - Access Control List).

Do kernel 2.2 em diante o Linux dividiu as formas tradicionais de privilégios associados ao superusuários em unidades diferentes, conhecidas como capacidades, que podem ser habilitadas e desabilitadas independentemente umas das outras. Essas capacidades são atribuídas por thread, ou seja, threads do mesmo processos podem ter suas capacidades de execução modificadas.

No Docker é possível modificar essas capacidades, habilitando ou desabilitando conforma sua necessidade, vale lembrar que todo container executa de forma não privilegiada, ou seja, ele tem sua execução restrita, quando é adicionada uma capacidade a execução de um container, é dado o privilegio para que o mesmo possa executar alguma ação como root, isso pode ser um problema de segurança, dependendo do seu ambiente.

Vamos ver algumas capacidades que podem ser atribuídas a um container, e que são normalmente utilizadas:
  • CAP_SETPCAP :: Modifica capacidades de um processo
  • CAP_SYS_MODULE :: Insere ou remove módulos do kernel
  • CAP_SYS_RAWIO :: Modifica memória do Kernel
  • CAP_SYS_PACCT :: Configura quota de processo
  • CAP_SYS_NICE :: Modifica prioridade do processo
  • CAP_SYS_RESOURCE :: Sobrescreve os limites de recursos
  • CAP_SYS_TIME :: Modifica a hora de sistema
  • CAP_SYS_TTY_CONFIG :: Configura interface tty
  • CAP_AUDIT_WRITE :: Escreve logs de auditoria
  • CAP_AUDIT_CONTROL :: Configura auditoria dos subsistema
  • CAP_MAC_OVERRIDE :: Ignora politicas de MC do Kernel
  • CAP_MAC_ADMIN :: Configuração de MAC
  • CAP_SYSLOG :: Modifica o comportamento de logs
  • CAP_NET_ADMIN :: Configura funções de rede
  • CAP_SYS_ADMIN :: Possibilita execução totalmente privilegiada.

Agora, para habilitar alguma capacidade (ou CAP) no Docker, pode ser utilizado o parâmetro: --cap-add=NOMEDACAP, algo parecido com isso:

# docker run --cap-add=NOMEDACAP -i -t --rm centos /bin/bash

Para remover alguma CAP basta adicionar o parâmetro --drop-cap, ficaria assim:

# docker run --cap-add=ALL --cap-drop=NET_ADMIN -i -t --rm centos /bin/bash

Seguindo os parâmetros acima, todas as CAPs serão habilitadas para este container, menos a CAP NET_ADMIN, com isso todas as demais operações serão permitidas ao container, menos as operações de rede, como modificação de ip, configurações de rotas etc.

Quer saber mais sobre Docker, veja nosso blog:
Referências:
Outras dicas deste autor

Docker, Git e PHP

Docker: Persistindo dados -BTSync

Monitorando o consumo de containers Docker

Docker Exec

Sysdig para Ops

Leitura recomendada

Instalando o Slax - Configurando wireless

Configurando RIP v2 em roteadores CISCO

Configurando rede DHCP no Slackware

Instalar Firefox com plugin Flash Player no Debian Squeeze

Reproduzir DVD salvo em imagem iso

  

Comentários
[1] Comentário enviado por erisrjr em 28/08/2015 - 15:27h

Legal encontrar mais conteúdo sobre o Docker, escrito por autores nacionais.

*Bacana o site também.

---------------------------------
Keep it Simple, Stupid



Contribuir com comentário