Docker root privileges
RésoluCasothIT Messages postés 6 Date d'inscription mardi 25 juillet 2023 Statut Membre Dernière intervention 29 juillet 2023 - 25 juil. 2023 à 17:31
- Docker - i am groot
- Ï majuscule - Guide
- I showkeyplus - Télécharger - Utilitaires
- "Shutdown -i" ✓ - Forum Windows
- Ou i ou a a ✓ - Forum Musique / Radio / Clip
- I trema ✓ - Forum Clavier
3 réponses
25 juil. 2023 à 10:52
Bonjour,
Les privilèges root sont nécessaires afin de communiquer avec le daemon Docker.
Il n'y a pas de distinction faite parmi les containers gérés par ce daemon en fonction de "quel utilisateur a exécuté la commande 'docker run...' ". Ainsi, chaque utilisateur ayant accès au daemon Docker peut voir/gérer les containers lancés par d'autres utilisateurs via ce daemon, ce qui peut déjà être un soucis sur un système multi-utilisateurs. Par ailleurs, pour éviter un "sudo", les utilisateurs peuvent être ajoutés au groupe "docker".
C'est juste le daemon qui est exécuté de façon privilégiée, il existe bien toujours une couche d'isolation qui fait que même si un container était compromis (à cause d'une faille dans une application contenue dans ce container), le hacker ne parviendrait pas à atteindre le système hôte. Il faudrait exploiter une faille de sécurité au niveau de la technologie de container sous jacente (LXC pour les containers Linux, HyperV pour les containers Windows) ce qui est peu probable.
Toutefois, tu as raison de te demander pourquoi une application comme Apache, un projet NodeJS, une application PHP devrait avoir besoin de faire intervenir "root" quelque-part alors qu'elles peuvent très bien être exécutées en tant qu'utilisateur simple. C'est pourquoi il est préférable d'utiliser des containers rootless, si possible avec Podman.
Pour l'utilisation d'un port privilégier <1024, il suffit d'associer le container à un port non privilégier et créer une redirection de ports avec le pare-feu du système (nftables), je déconseille de modifier la limite des ports privilégiés, méthode souvent donnée comme "solution".
Merci pour ta réponse.
Je comprends mieux l'idée du daemon etc. Mais donc ajouter le groupe Docker à un utilisateur, permet juste de faire un 'docker run' sans le sudo, mais derière il sera quand même gérer par le daemon avec les privilèges élevés?
Je vais me renseigner sur les couches LXC/HyperV, merci pour la piste.
Je vais regarder cette histoire de Podman et de containers rootless également.
Pour les ports, prennant pour exemple un serveur apache. Si je lance le container en mode ' -p 6666:6666' , si je ne dis pas de bétise, les requêtes passeront du container à l'host via le port 6666. Via le parefeu, je redirige mon traffic 6666 vers le 80? Ainsi, via mon navigateur, si je fais un http://localhost:80 je verrais bien mon serveur web? Je ne connais pas trop nftable, j'ai laissé le paramètrage par défaut (deny all sur le trafic entrant de mémoire). Il faut peut être que je revois certaines bases.
Quoi qu'il en soit, plein de piste à explorer et truc à lire et tester!
Je te remercie encore.
Modifié le 25 juil. 2023 à 14:40
En effet, l'utilisateur non-privilégié pourrait, via le daemon Docker, accéder à des données auxquelles il n'a pas accès normalement en lançant un container et en lui attachant le fichier/dossier ciblé.
Oui, l'idée est d'utiliser un port hôte supérieur à 1024 pour publier le service car il faut être administrateur pour accéder aux ports inférieurs. Note que le port interne au container peut être 80 : tu peux utiliser "-p 6666:80"
De cette manière, http://localhost:6666 affichera ta page Apache qui écoute le port 80 dans le container.
Et pour accéder à http://localhost, il faudra rediriger les paquets IP destinés à 127.0.0.1:80 vers 127.0.0.1:6666
C'est du DNAT, à mettre en place avec ton pare-feu (iptables, ufw, firewalld, ...). Il faut être administrateur pour créer cette redirection mais uniquement pour cette action.
25 juil. 2023 à 14:53
D'ac, j'ai pas vraiment réfléchie, mais c'est un peu comme la table NAT de mon routeur (ma box en l'occurence), je vois grosso-modo le principe, même si y a pas mal de chose à approfondire. Je vais tester tout ça, me planter, recommencer et avancer!
Je te remercie pour tes lumières, y a tellement de ressource sur internet, que parfois, c'est pas évident de faire le tri ^^
Amuse toi bien o/
25 juil. 2023 à 17:31
Hello,
Pour un petit retour, je me suis amusé à monter un serveur Web(Apache/mariaDB) avec un container par service et des redirections de ports via Netfilter.
Je me suis fais un petit CRUD rapido pour voir:
- mes requêtes wget répondent nickel sur http://127.0.0.1
- dans wireshark / les logs de Netfilter, je vois bien la redirection des paquets et le trafic comme à l'attendu.
Merci encore pour le débrousaillage d'info !
