Docker 的 AppArmor 安全性設定檔
AppArmor (Application Armor) 是一個 Linux 安全模組,用於保護作業系統及其應用程式免受安全威脅。為了使用它,系統管理員會將 AppArmor 安全設定檔與每個程式關聯起來。Docker 預期系統中已載入並強制執行 AppArmor 策略。
Docker 會自動為名為 docker-default 的容器產生並載入預設設定檔。Docker 二進位檔會在 tmpfs 中產生此設定檔,然後將其載入核心。
注意此設定檔用於容器,而非 Docker 常駐程式 (daemon)。
雖然 Docker Engine 常駐程式有對應的設定檔,但目前不會隨 deb 套件安裝。如果您對常駐程式設定檔的原始碼感興趣,可以在 Docker Engine 原始碼儲存庫的 contrib/apparmor 中找到。
理解策略
docker-default 設定檔是執行容器時的預設值。它在提供廣泛應用程式相容性的同時,具備適度的保護能力。此設定檔由下列 範本 (template) 產生。
當您執行容器時,除非使用 security-opt 選項覆寫,否則它會使用 docker-default 策略。例如,下列指令明確指定了預設策略:
$ docker run --rm -it --security-opt apparmor=docker-default hello-world
載入與卸載設定檔
若要將新的設定檔載入 AppArmor 以供容器使用:
$ apparmor_parser -r -W /path/to/your_profile
然後,使用 --security-opt 執行自訂設定檔:
$ docker run --rm -it --security-opt apparmor=your_profile hello-world
若要從 AppArmor 卸載設定檔:
# unload the profile
$ apparmor_parser -R /path/to/profile
編寫設定檔的資源
AppArmor 中的檔案匹配 (globbing) 語法與其他一些匹配實作略有不同。強烈建議您查看下方關於 AppArmor 設定檔語法的資源。
Nginx 範例設定檔
在此範例中,您將為 Nginx 建立一個自訂的 AppArmor 設定檔。以下是該自訂設定檔的內容:
#include <tunables/global>
profile docker-nginx flags=(attach_disconnected,mediate_deleted) {
#include <abstractions/base>
network inet tcp,
network inet udp,
network inet icmp,
deny network raw,
deny network packet,
file,
umount,
deny /bin/** wl,
deny /boot/** wl,
deny /dev/** wl,
deny /etc/** wl,
deny /home/** wl,
deny /lib/** wl,
deny /lib64/** wl,
deny /media/** wl,
deny /mnt/** wl,
deny /opt/** wl,
deny /proc/** wl,
deny /root/** wl,
deny /sbin/** wl,
deny /srv/** wl,
deny /tmp/** wl,
deny /sys/** wl,
deny /usr/** wl,
audit /** w,
/var/run/nginx.pid w,
/usr/sbin/nginx ix,
deny /bin/dash mrwklx,
deny /bin/sh mrwklx,
deny /usr/bin/top mrwklx,
capability chown,
capability dac_override,
capability setuid,
capability setgid,
capability net_bind_service,
deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir)
# deny write to files not in /proc/<number>/** or /proc/sys/**
deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w,
deny @{PROC}/sys/[^k]** w, # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel)
deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny everything except shm* in /proc/sys/kernel/
deny @{PROC}/sysrq-trigger rwklx,
deny @{PROC}/mem rwklx,
deny @{PROC}/kmem rwklx,
deny @{PROC}/kcore rwklx,
deny mount,
deny /sys/[^f]*/** wklx,
deny /sys/f[^s]*/** wklx,
deny /sys/fs/[^c]*/** wklx,
deny /sys/fs/c[^g]*/** wklx,
deny /sys/fs/cg[^r]*/** wklx,
deny /sys/firmware/** rwklx,
deny /sys/kernel/security/** rwklx,
}
將自訂設定檔儲存到磁碟中的
/etc/apparmor.d/containers/docker-nginx檔案。此範例中的檔案路徑並非強制要求。在生產環境中,您可以使用其他路徑。
載入設定檔。
$ sudo apparmor_parser -r -W /etc/apparmor.d/containers/docker-nginx使用該設定檔執行容器。
若要以分離模式 (detached mode) 執行 Nginx:
$ docker run --security-opt "apparmor=docker-nginx" \ -p 80:80 -d --name apparmor-nginx nginx進入正在執行的容器 (exec)。
$ docker container exec -it apparmor-nginx bash嘗試一些操作來測試該設定檔。
root@6da5a2a930b9:~# ping 8.8.8.8 ping: Lacking privilege for raw socket. root@6da5a2a930b9:/# top bash: /usr/bin/top: Permission denied root@6da5a2a930b9:~# touch ~/thing touch: cannot touch 'thing': Permission denied root@6da5a2a930b9:/# sh bash: /bin/sh: Permission denied root@6da5a2a930b9:/# dash bash: /bin/dash: Permission denied
您剛剛部署了一個受自訂 AppArmor 設定檔保護的容器。
偵錯 AppArmor
您可以使用 dmesg 來偵錯問題,並使用 aa-status 檢查載入的設定檔。
使用 dmesg
以下是一些有助於偵錯您可能遇到的 AppArmor 相關問題的提示。
AppArmor 會向 dmesg 發送相當詳細的訊息。通常 AppArmor 的一行記錄如下所示:
[ 5442.864673] audit: type=1400 audit(1453830992.845:37): apparmor="ALLOWED" operation="open" profile="/usr/bin/docker" name="/home/jessie/docker/man/man1/docker-attach.1" pid=10923 comm="docker" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0在上面的範例中,您可以看到 profile=/usr/bin/docker。這表示使用者已載入 docker-engine (Docker Engine 常駐程式) 設定檔。
查看另一行日誌:
[ 3256.689120] type=1400 audit(1405454041.341:73): apparmor="DENIED" operation="ptrace" profile="docker-default" pid=17651 comm="docker" requested_mask="receive" denied_mask="receive"這次的設定檔是 docker-default,除非在 privileged (特權) 模式下,否則預設會套用於容器。這一行顯示 AppArmor 在容器內拒絕了 ptrace。這完全符合預期。
使用 aa-status
如果您需要檢查載入的設定檔,可以使用 aa-status。輸出如下所示:
$ sudo aa-status
apparmor module is loaded.
14 profiles are loaded.
1 profiles are in enforce mode.
docker-default
13 profiles are in complain mode.
/usr/bin/docker
/usr/bin/docker///bin/cat
/usr/bin/docker///bin/ps
/usr/bin/docker///sbin/apparmor_parser
/usr/bin/docker///sbin/auplink
/usr/bin/docker///sbin/blkid
/usr/bin/docker///sbin/iptables
/usr/bin/docker///sbin/mke2fs
/usr/bin/docker///sbin/modprobe
/usr/bin/docker///sbin/tune2fs
/usr/bin/docker///sbin/xtables-multi
/usr/bin/docker///sbin/zfs
/usr/bin/docker///usr/bin/xz
38 processes have profiles defined.
37 processes are in enforce mode.
docker-default (6044)
...
docker-default (31899)
1 processes are in complain mode.
/usr/bin/docker (29756)
0 processes are unconfined but have a profile defined.
上面的輸出顯示在多個容器 PID 上執行的 docker-default 設定檔處於 enforce (強制) 模式。這意味著 AppArmor 會主動封鎖並在 dmesg 中審核任何超出 docker-default 設定檔邊界的行為。
上述輸出也顯示 /usr/bin/docker (Docker Engine 常駐程式) 設定檔以 complain (抱怨) 模式執行。這意味著 AppArmor 僅會將超出設定檔邊界的活動記錄到 dmesg 中。(Ubuntu Trusty 除外,在該版本中會強制執行一些有趣的行為。)
為 Docker 的 AppArmor 程式碼做出貢獻
進階使用者和套件管理員可以在 Docker Engine 原始碼儲存庫的 contrib/apparmor 下找到 /usr/bin/docker (Docker Engine 常駐程式) 的設定檔。
用於容器的 docker-default 設定檔位於 profiles/apparmor。