©
This document uses PHP Chinese website manual Release
AppArmor(应用程序防护)是一个Linux安全模块,可保护操作系统及其应用程序免受安全威胁。要使用它,系统管理员会将AppArmor安全配置文件与每个程序相关联。Docker希望找到加载并执行的AppArmor策略。
Docker会自动生成并加载一个名为容器的默认配置文件docker-default
。在Docker版本1.13.0
和更高版本中,Docker二进制文件将生成此配置文件tmpfs
,然后将其加载到内核中。在早于版本的Docker版本上1.13.0
,将生成此配置文件/etc/apparmor.d/docker
。
注意:此配置文件用于容器,而不是 Docker守护程序。
Docker Engine守护进程的配置文件存在,但目前没有与deb
软件包一起安装。如果您对守护进程配置文件的源代码感兴趣,它位于Docker Engine源代码库的contrib/apparmor中。
docker-default
配置文件是运行容器的默认设置。它具有适度的保护性,同时提供广泛的应用兼容性 该配置文件是从以下模板生成的。
运行容器时,docker-default
除非使用该security-opt
选项覆盖它,否则它将使用该策略。例如,以下内容明确指定了默认策略:
$ docker run --rm -it --security-opt apparmor=docker-default hello-world
将新配置文件加载到AppArmor以用于容器:
$ apparmor_parser -r -W /path/to/your_profile
然后,--security-opt
像这样运行自定义配置文件:
$ docker run --rm -it --security-opt apparmor=your_profile hello-world
从AppArmor卸载配置文件:
# stop apparmor $ /etc/init.d/apparmor stop # unload the profile $ apparmor_parser -R /path/to/profile # start apparmor $ /etc/init.d/apparmor start
AppArmor中文件通配的语法与其他一些通配实现有点不同。强烈建议您查看关于AppArmor配置文件语法的以下某些资源。
快速简介语言
Globbing Syntax
在本例中,您为Nginx创建了一个自定义AppArmor配置文件。以下是自定义配置文件。
#include <tunables/global>profile docker-nginx flags=(attach_disconnected,mediate_deleted) { #include <abstractions/base> network inet tcp, network inet udp, network inet icmp, deny network raw, deny network packet, file, umount, deny /bin/** wl, deny /boot/** wl, deny /dev/** wl, deny /etc/** wl, deny /home/** wl, deny /lib/** wl, deny /lib64/** wl, deny /media/** wl, deny /mnt/** wl, deny /opt/** wl, deny /proc/** wl, deny /root/** wl, deny /sbin/** wl, deny /srv/** wl, deny /tmp/** wl, deny /sys/** wl, deny /usr/** wl, audit /** w, /var/run/nginx.pid w, /usr/sbin/nginx ix, deny /bin/dash mrwklx, deny /bin/sh mrwklx, deny /usr/bin/top mrwklx, capability chown, capability dac_override, capability setuid, capability setgid, capability net_bind_service, deny @{PROC}/* w, # deny write for all files directly in /proc (not in a subdir) # deny write to files not in /proc/<number>/** or /proc/sys/** deny @{PROC}/{[^1-9],[^1-9][^0-9],[^1-9s][^0-9y][^0-9s],[^1-9][^0-9][^0-9][^0-9]*}/** w, deny @{PROC}/sys/[^k]** w, # deny /proc/sys except /proc/sys/k* (effectively /proc/sys/kernel) deny @{PROC}/sys/kernel/{?,??,[^s][^h][^m]**} w, # deny everything except shm* in /proc/sys/kernel/ deny @{PROC}/sysrq-trigger rwklx, deny @{PROC}/mem rwklx, deny @{PROC}/kmem rwklx, deny @{PROC}/kcore rwklx, deny mount, deny /sys/[^f]*/** wklx, deny /sys/f[^s]*/** wklx, deny /sys/fs/[^c]*/** wklx, deny /sys/fs/c[^g]*/** wklx, deny /sys/fs/cg[^r]*/** wklx, deny /sys/firmware/** rwklx, deny /sys/kernel/security/** rwklx, }
将自定义配置文件保存到文件中的磁盘/etc/apparmor.d/containers/docker-nginx
。本示例中的文件路径不是必需的。在生产中,你可以使用另一个。
2. 加载配置文件。
$ sudo apparmor_parser -r -W /etc/apparmor.d/containers/docker-nginx
用配置文件运行一个容器。以分离模式运行nginx:$ docker run --security-opt“apparmor = docker-nginx”\ -p 80:80 -d --name apparmor-nginx nginx
2. 执行到正在运行的容器中。
$ docker exec -it apparmor-nginx bash
2. 尝试一些操作来测试配置文件。
root@6da5a2a930b9:~# ping 8.8.8.8 ping: Lacking privilege for raw socket. root@6da5a2a930b9:/# top bash: /usr/bin/top: Permission denied root@6da5a2a930b9:~# touch ~/thing touch: cannot touch 'thing': Permission denied root@6da5a2a930b9:/# sh bash: /bin/sh: Permission denied root@6da5a2a930b9:/# dash bash: /bin/dash: Permission denied
恭喜!您刚刚部署了一个由定制apparmor配置文件保护的容器!
您可以使用dmesg
来调试问题并aa-status
检查加载的配置文件。
以下是一些有用的技巧,用于调试您可能面临的有关AppArmor的任何问题。
AppArmor发送非常详细的消息dmesg
。通常,AppArmor行如下所示:
[ 5442.864673] audit: type=1400 audit(1453830992.845:37): apparmor="ALLOWED" operation="open" profile="/usr/bin/docker" name="/home/jessie/docker/man/man1/docker-attach.1" pid=10923 comm="docker" requested_mask="r" denied_mask="r" fsuid=1000 ouid=0
在上面的例子中,你可以看到profile=/usr/bin/docker
。这意味着用户docker-engine
加载了(Docker引擎守护进程)配置文件。
注意:在Ubuntu> 14.04的版本中,这一切都很好,但Trusty用户在尝试时可能遇到一些问题docker exec
。
看另一条日志行:
[ 3256.689120] type=1400 audit(1405454041.341:73): apparmor="DENIED" operation="ptrace" profile="docker-default" pid=17651 comm="docker" requested_mask="receive" denied_mask="receive"
这次配置文件是docker-default
默认情况下在容器上运行的配置文件,除非在privileged
模式下运行。该行显示apparmor ptrace
在容器中已被拒绝。这完全如预期。
aa-status
.产出如下:
$ sudo aa-status apparmor module is loaded.14 profiles are loaded.1 profiles are in enforce mode. docker-default13 profiles are in complain mode. /usr/bin/docker /usr/bin/docker///bin/cat /usr/bin/docker///bin/ps /usr/bin/docker///sbin/apparmor_parser /usr/bin/docker///sbin/auplink /usr/bin/docker///sbin/blkid /usr/bin/docker///sbin/iptables /usr/bin/docker///sbin/mke2fs /usr/bin/docker///sbin/modprobe /usr/bin/docker///sbin/tune2fs /usr/bin/docker///sbin/xtables-multi /usr/bin/docker///sbin/zfs /usr/bin/docker///usr/bin/xz38 processes have profiles defined.37 processes are in enforce mode. docker-default (6044) ... docker-default (31899)1 processes are in complain mode. /usr/bin/docker (29756)0 processes are unconfined but have a profile defined.
以上输出显示docker-default
在各种容器PID上运行的配置文件处于enforce
模式。这意味着AppArmor正在主动阻止和审核配置文件dmesg
边界之外的任何内容docker-default
。
上面的输出还显示/usr/bin/docker
(Docker引擎守护进程)配置文件正在complain
模式下运行。这意味着AppArmor 只会记录到dmesg
配置文件边界之外的活动。(除了在Ubuntu Trusty的情况下,执行一些有趣的行为。)
高级用户和软件包管理员可以在Docker Engine源代码仓库的contrib/apparmor/usr/bin/docker
下找到(Docker Engine Daemon)的配置文件。
该docker-default
文档容器存在于profiles/apparmor。