Docker 的 AppArmor 安全配置檔案
AppArmor (Application Armor) 是一個 Linux 安全模組,用於保護作業系統及其應用程式免受安全威脅。要使用它,系統管理員需要為每個程式關聯一個 AppArmor 安全配置檔案。Docker 希望找到已載入並強制執行的 AppArmor 策略。
Docker 會自動為容器生成並載入一個名為 docker-default 的預設配置檔案。Docker 二進位制檔案在 tmpfs 中生成此配置檔案,然後將其載入到核心中。
注意此配置檔案用於容器,而不是 Docker 守護程序。
Docker Engine 守護程序的配置檔案是存在的,但目前沒有隨 deb 軟體包一起安裝。如果您對守護程序配置檔案的原始碼感興趣,它位於 Docker Engine 原始碼倉庫的 contrib/apparmor 目錄中。
瞭解策略
docker-default 配置檔案是執行容器的預設配置。它在提供廣泛應用程式相容性的同時,具有適度的保護性。該配置檔案由以下模板生成。
當您執行一個容器時,它會使用 docker-default 策略,除非您使用 security-opt 選項覆蓋它。例如,以下命令明確指定了預設策略:
$ docker run --rm -it --security-opt apparmor=docker-default hello-world
載入和解除安裝配置檔案
要將新的配置檔案載入到 AppArmor 中以供容器使用:
$ apparmor_parser -r -W /path/to/your_profile
然後,使用 --security-opt 執行自定義配置檔案:
$ docker run --rm -it --security-opt apparmor=your_profile hello-world
要從 AppArmor 中解除安裝一個配置檔案:
# unload the profile
$ apparmor_parser -R /path/to/profile
編寫配置檔案的資源
AppArmor 中的檔案萬用字元語法與其他一些萬用字元實現略有不同。強烈建議您檢視以下有關 AppArmor 配置檔案語法的資源。
Nginx 配置檔案示例
在此示例中,您將為 Nginx 建立一個自定義的 AppArmor 配置檔案。以下是自定義配置檔案。
#include <tunables/global>
profile docker-nginx flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network inet tcp,
network inet udp,
network inet icmp,
deny network raw,
deny network packet,
file,
umount,
deny /bin/** wl,
deny /boot/** wl,
deny /dev/** wl,
deny /etc/** wl,
deny /home/** wl,
deny /lib/** wl,
deny /lib64/** wl,
deny /media/** wl,
deny /mnt/** wl,
deny /opt/** wl,
deny /proc/** wl,
deny /root/** wl,
deny /sbin/** wl,
deny /srv/** wl,
deny /tmp/** wl,
deny /sys/** wl,
deny /usr/** wl,
audit /** w,
/var/run/nginx.pid w,
/usr/sbin/nginx ix,
deny /bin/dash mrwklx,
deny /bin/sh mrwklx,
deny /usr/bin/top mrwklx,
capability chown,
capability dac_override,
capability setuid,
capability setgid,
capability net_bind_service,
deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir)
# deny write to files not in /proc/<number>/** or /proc/sys/**
deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w,
deny @{PROC}/sys/[^k]** w, # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel)
deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny everything except shm* in /proc/sys/kernel/
deny @{PROC}/sysrq-trigger rwklx,
deny @{PROC}/mem rwklx,
deny @{PROC}/kmem rwklx,
deny @{PROC}/kcore rwklx,
deny mount,
deny /sys/[^f]*/** wklx,
deny /sys/f[^s]*/** wklx,
deny /sys/fs/[^c]*/** wklx,
deny /sys/fs/c[^g]*/** wklx,
deny /sys/fs/cg[^r]*/** wklx,
deny /sys/firmware/** rwklx,
deny /sys/kernel/security/** rwklx,
}
將自定義配置檔案儲存到磁碟上的
/etc/apparmor.d/containers/docker-nginx檔案中。此示例中的檔案路徑不是必需的。在生產環境中,您可以使用其他路徑。
載入配置檔案。
$ sudo apparmor_parser -r -W /etc/apparmor.d/containers/docker-nginx使用該配置檔案執行一個容器。
要在分離模式下執行 nginx:
$ docker run --security-opt "apparmor=docker-nginx" \ -p 80:80 -d --name apparmor-nginx nginx進入正在執行的容器。
$ docker container exec -it apparmor-nginx bash嘗試一些操作來測試配置檔案。
root@6da5a2a930b9:~# ping 8.8.8.8 ping: Lacking privilege for raw socket. root@6da5a2a930b9:/# top bash: /usr/bin/top: Permission denied root@6da5a2a930b9:~# touch ~/thing touch: cannot touch 'thing': Permission denied root@6da5a2a930b9:/# sh bash: /bin/sh: Permission denied root@6da5a2a930b9:/# dash bash: /bin/dash: Permission denied
您剛剛部署了一個使用自定義 apparmor 配置檔案進行保護的容器。
除錯 AppArmor
您可以使用 dmesg 來除錯問題,並使用 aa-status 檢查已載入的配置檔案。
使用 dmesg
以下是有關除錯您可能遇到的 AppArmor 問題的有用提示。
AppArmor 會向 dmesg 傳送非常詳細的訊息。通常,一條 AppArmor 日誌行看起來像下面這樣:
[ 5442.864673] audit: type=1400 audit(1453830992.845:37): apparmor="ALLOWED" operation="open" profile="/usr/bin/docker" name="/home/jessie/docker/man/man1/docker-attach.1" pid=10923 comm="docker" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0在上面的例子中,您可以看到 profile=/usr/bin/docker。這意味著使用者已經載入了 docker-engine(Docker Engine 守護程序)的配置檔案。
檢視另一條日誌行:
[ 3256.689120] type=1400 audit(1405454041.341:73): apparmor="DENIED" operation="ptrace" profile="docker-default" pid=17651 comm="docker" requested_mask="receive" denied_mask="receive"這次的配置檔案是 docker-default,這是容器在非 privileged 模式下預設執行的配置檔案。這行日誌顯示 apparmor 拒絕了容器內的 ptrace 操作。這完全符合預期。
使用 aa-status
如果您需要檢查哪些配置檔案已載入,可以使用 aa-status。輸出如下所示:
$ sudo aa-status
apparmor module is loaded.
14 profiles are loaded.
1 profiles are in enforce mode.
docker-default
13 profiles are in complain mode.
/usr/bin/docker
/usr/bin/docker///bin/cat
/usr/bin/docker///bin/ps
/usr/bin/docker///sbin/apparmor_parser
/usr/bin/docker///sbin/auplink
/usr/bin/docker///sbin/blkid
/usr/bin/docker///sbin/iptables
/usr/bin/docker///sbin/mke2fs
/usr/bin/docker///sbin/modprobe
/usr/bin/docker///sbin/tune2fs
/usr/bin/docker///sbin/xtables-multi
/usr/bin/docker///sbin/zfs
/usr/bin/docker///usr/bin/xz
38 processes have profiles defined.
37 processes are in enforce mode.
docker-default (6044)
...
docker-default (31899)
1 processes are in complain mode.
/usr/bin/docker (29756)
0 processes are unconfined but have a profile defined.
以上輸出顯示,在多個容器 PID 上執行的 docker-default 配置檔案處於 enforce(強制)模式。這意味著 AppArmor 正在主動阻止並審計任何超出 docker-default 配置檔案範圍的行為,並將日誌記錄到 dmesg 中。
上述輸出還顯示,/usr/bin/docker(Docker Engine 守護程序)配置檔案正在以 complain(抱怨)模式執行。這意味著 AppArmor 僅將超出配置檔案範圍的活動記錄到 dmesg 中。(但在 Ubuntu Trusty 的情況下,某些有趣的行為會被強制執行。)
為 Docker 的 AppArmor 程式碼做貢獻
高階使用者和軟體包管理器可以在 Docker Engine 原始碼倉庫的 contrib/apparmor 目錄下找到 /usr/bin/docker(Docker Engine 守護程序)的配置檔案。
用於容器的 docker-default 配置檔案位於 profiles/apparmor。