当前位置: 首页 > article >正文

【容器安全系列Ⅵ】- Linux seccomp隔离

图片

       在本系列中,我们介绍了各种安全层,这些安全层不仅可以将容器与主机上的其他进程隔离开来,还可以将容器与其底层主机隔离开来。在这篇文章中,我们将讨论容器运行时如何将 seccomp 过滤器用作“最后一道防线”。

Syscalls 和 seccomp 概述

       Seccomp 过滤器是一种限制进程可以执行哪些 Linux 系统调用的方法。系统调用本质上是用户空间程序和 Linux 内核之间的接口。每当程序需要访问主机内核提供的服务时(例如,打开文件或创建新进程时),它都会使用系统调用来获取它。

       Linux 提供了大量的系统调用,目前大概有 300 多个系统调用可用。需要注意的是,系统调用因底层硬件架构而异。比如你将在基于 ARM 的系统和 AMD64 系统之间的系统调用表中看到差异。

       Seccomp 过滤器是编写的 Berkeley 数据包过滤器 (BPF) 程序,用于限制进程可以进行的系统调用,从而允许实施非常细粒度的限制。最广泛使用的例子是在容器中,用户通常以 root 身份运行,但需要阻止可能导致容器突破的危险系统调用。

Docker 容器中的 Seccomp 筛选器

       作为 Docker 实施的默认限制集的一部分,seccomp 过滤器将应用于任何新容器。此过滤器可以捕获其他保护层(例如Capability)允许容器中的操作的情况。从历史上看,在一些情况下,Docker 的 seccomp 过滤器会阻止安全漏洞。一个例子是 CVE-2022-0185,它使用 unshare 系统调用来利用漏洞。此系统调用就会被 Docker 的 seccomp 过滤器阻止。

       为了创建这种 seccomp 过滤,Docker 创建了一个调用允许列表,然后阻止了列表中未列出的任何系统调用。这意味着我们可以避免在 Linux 内核中添加新的危险系统调用(即可用于逃逸容器的系统调用)的风险。

       让我们通过展示被阻止的系统调用的实用程序来说明 Docker 的 seccomp 过滤器的效果。在本例中,我们将使用 unshare ,它在主机上创建新的命名空间。

       首先,我们将使用 docker run -it ubuntu:22.04 /bin/bash 命令运行一个标准的 Docker 容器并执行 unshare。由于seccomp 过滤器,这会导致“操作不被允许”。

图片

取消被 seccomp 阻止的共享

       接下来,我们在禁用 seccomp 过滤器的情况下执行 docker run --security-opt seccomp=unconfined -it ubuntu:22.04 /bin/bash 启动一个容器。如果我们再次尝试运行相同的命令,我们可以看到它成功了。

图片

禁用 Docker 的 seccomp 筛选器时允许取消共享

创建自定义 seccomp 筛选器

       尽管 Docker 默认的 seccomp 配置文件提供了良好的隔离策略,但在某些情况下,需要更加个性化的限制。在这些情况下,您将需要一个自定义 seccomp 配置文件。

       对于 Docker,您可以指定 JSON 格式的 seccomp 配置文件。例如,如果您想要一个空白的 seccomp 配置文件来阻止所有系统调用,则它看起来像这样:

{
  "defaultAction": "SCMP_ACT_ERRNO",
  "architectures": [
    "SCMP_ARCH_X86_64",
    "SCMP_ARCH_X86",
    "SCMP_ARCH_X32"
  ],
  "syscalls": [
  ]
}

       defaultAction 代表了当系统调用与策略的任何部分不匹配时将执行的操作。在本例中,其动作为 SCMP_ACT_ERRNO,这意味着将返回错误并拒绝调用。

       当然,这个策略肯定是不可用的,这会影响到容器的正常使用,因为所有容器都需要进行系统调用。一个更实际的例子可能是阻止 Docker 通常允许的某些功能集。例如,您可能希望阻止 io_uring 系统调用集,因为它们在过去几年中涉及大量内核漏洞。

       在这里,最好的方法是从 Docker 的默认 seccomp 策略开始,然后删除相关的系统调用。在本例中,该策略包括三个io_uring相关的系统调用:

"io_uring_enter",
"io_uring_register",
"io_uring_setup",

       我们需要做的就是删除这些条目,将配置文件另存为新文件,并在启动时将其提供给我们的 Docker 容器。

       要提供自定义 seccomp 配置文件,只需将配置文件的名称作为参数传递给 docker run 命令即可。因此,例如,如果您有一个名为 no_io_uring.json 的配置文件,则可以将其应用于新容器,如下所示:

docker run -it --security-opt seccomp=no_io_uring.json ubuntu:22.04 /bin/bash

       生成自定义 seccomp 配置文件的另一个选项是审核应用程序生成的系统调用,然后使用此审核日志创建仅允许这些系统调用的自定义配置文件。像 Inspektor Gadget 这样的工具可以帮助自动化这个过程。

结论

        Seccomp 过滤器为希望阻止对特定系统调用的访问的容器和其他 Linux 进程提供了细粒度的“最后一道防线”。它是 Docker 容器安全性的有用补充,在阻止一些可能允许容器突破的漏洞方面发挥了重要作用。我们还了解了创建自定义 seccomp 过滤器如何有助于在不中断业务的情况下为容器增添另一层安全防护。

       通过本系列文章,我们可以了解,虽然 Docker 容器的安全模型感觉有点像一个封闭的盒子,但它实际上是一系列可以使用的标准 Linux 工具的集合。


http://www.kler.cn/a/300938.html

相关文章:

  • Jenkins与不同阶段测试的完美结合
  • 【混合开发】CefSharp+Vue 解决Cookie问题
  • 关于H5复制ios没有效果
  • Docker 镜像制作原理 做一个自己的docker镜像
  • Unity的四种数据持久化方式
  • dockerfile2.0
  • Java中的内存模型与并发编程优化
  • 核心系统用PG了,抠脑壳的权限,搞晕了!
  • 【软件合集】电脑桌面整理工具、DLL修复工具、文件加密等11款电脑必备软件,高效办公!
  • 多线程篇五——wait和notify
  • 现货黄金避险属性是怎么来的?
  • 敏捷开发方法例题
  • 从用户反馈看相亲交友平台的设计缺陷及改进方向
  • 电脑开机速度慢怎么解决?
  • 【智能终端】HBuilder X 与微信开发者工具集成与调试实战
  • Windows系统下安装Redis
  • EasyExcel相关整理
  • 【C++登堂入室】类和对象(中)——类的6个默认成员函数
  • 外包干了三年,快要废了。。。
  • Vulnhub-RickdiculouslyEasy靶场(9个flag)
  • Go语言中的RPC协议原理解析
  • Redis中的AOF重写过程及其实际应用
  • 再次进阶 舞台王者 第八季完美童模全球赛荣耀大使【梅释尹】赛场秀场超燃合集!
  • React尚硅谷020-036(props、ref、受控组件)
  • 【HarmonyOS】鸿蒙头像上传-(编辑个人信息页- 头像上传)+实时数据更新
  • 【9.11最新发布】Win10 22H2 19045.4894 正式版镜像!