Diese Seite wurde von der Cloud Translation API übersetzt.
Switch to English

Container mit AppArmor schützen

AppArmor ist ein Kernel-Sicherheitsmodul unter Linux, mit dem Sie den Funktionsumfang von Prozessen beschränken können, die auf dem Host-Betriebssystem ausgeführt werden. Für jeden Prozess kann ein eigenes Sicherheitsprofil angelegt werden. Das Sicherheitsprofil erlaubt oder unterbindet bestimmte Funktionen, wie zum Beispiel den Netzwerkzugriff oder die Lese-/Schreib-/Ausführberechtigungen für Dateien.

AppArmor kann mit den Docker-Containern verwendet werden, die auf Ihren Container-Optimized OS-Instanzen laufen. Sie können für jeden Container wählen, ob Sie das standardmäßig in Docker enthaltene Sicherheitsprofil für AppArmor verwenden oder ein benutzerdefiniertes Sicherheitsprofil zur Verfügung stellen möchten.

Standardmäßiges AppArmor-Sicherheitsprofil von Docker verwenden

Wenn Sie einen Container auf Ihrer Container-Optimized OS-Instanz starten, wendet das System automatisch das AppArmor-Sicherheitsprofil docker-default an. Mit dem folgenden Beispielbefehl wird ein Container mit dem Sicherheitsprofil docker-default ausgeführt:

docker run --rm -it debian:jessie bash -i

Zum Testen des Sicherheitsprofils docker-default können Sie die Datei /proc/sysrq-trigger mit dem Befehl cat folgendermaßen lesen:

root@88cef496c1a5:/# cat /proc/sysrq-trigger

Daraufhin sollte eine "Zugriff verweigert"-Fehlermeldung ähnlich der Folgenden ausgegeben werden:

cat: /proc/sysrq-trigger: Permission denied

Benutzerdefiniertes Sicherheitsprofil verwenden

Wenn Sie ein anderes Sicherheitsprofil anwenden möchten, verwenden Sie beim Ausführen des Containers die Befehlszeilenoption apparmor=<profile-name>. Mit dem folgenden Beispielbefehl wird ein Container mit einem Sicherheitsprofil namens no-ping ausgeführt:

docker run --rm -i --security-opt apparmor=no-ping debian:jessie bash -i

Weitere Informationen zum Erstellen des im Beispiel angegebenen no-ping-Profils finden Sie unter Benutzerdefiniertes Sicherheitsprofil erstellen weiter unten.

Sie können unconfined auch mit der Option apparmor angeben, um anzugeben, dass der Container mit keinem Sicherheitsprofil ausgeführt werden soll, wie im folgenden Beispiel:

docker run --rm -it --security-opt apparmor=unconfined debian:jessie bash -i

Aktive AppArmor-Sicherheitsprofile anzeigen

Sie können sehen, welches AppArmor-Profil, falls zutreffend, auf die Prozesse in Ihrer Container-Optimized OS-instanz angewendet wird, indem Sie die Datei /proc/<pid>/attr/current überprüfen, wobei <pid> die Prozess-ID ist.

Angenommen, auf der Instanz werden die folgenden Prozesse ausgeführt (angezeigt durch den Befehl ps -ef | grep '[b]ash -i'):

root      1903  1897  0 21:58 pts/3    00:00:00 docker run --rm -it debian:jessie bash -i
root      1927  1913  0 21:58 pts/4    00:00:00 bash -i
root      1978  1001  0 22:01 pts/0    00:00:00 docker run --rm -it --security-opt apparmor=unconfined debian:jessie bash -i
root      2001  1988  0 22:01 pts/2    00:00:00 bash -i

Wenn Sie /proc/1927/attr/current prüfen, sollten Sie die folgende Ausgabe sehen, die angibt, dass der Prozess (pid 1927) mit dem standardmäßigen Docker-Sicherheitsprofil ausgeführt wurde:

# cat /proc/1927/attr/current
docker-default (enforce)

Wenn Sie /proc/2001/attr/current überprüfen, sollte die folgende Ausgabe angezeigt werden, die angibt, dass der Prozess (pid 2001) mit keinem Sicherheitsprofil ausgeführt wurde (dh mit der Option apparmor=unconfined):

# cat /proc/2001/attr/current
unconfined

Benutzerdefiniertes Sicherheitsprofil erstellen

Wenn für den Prozess ein anderes Sicherheitsprofil als docker-default erforderlich ist, können Sie Ihr eigenes benutzerdefiniertes Profil schreiben. Um es zu verwenden, erstellen Sie die Profildatei und laden diese dann in AppArmor hoch.

Nehmen wir an, Sie möchten beispielsweise ein Sicherheitsprofil, das den gesamten primären Netzwerkverkehr blockiert. Das folgende Skript erstellt eine Datei für ein Sicherheitsprofil mit der Bezeichnung no-ping unter /etc/apparmor.d/no_raw_net:

cat > /etc/apparmor.d/no_raw_net <<EOF
#include <tunables/global>

profile no-ping flags=(attach_disconnected,mediate_deleted) {
  #include <abstractions/base>

  network inet tcp,
  network inet udp,
  network inet icmp,

  deny network raw,
  deny network packet,
  file,
  mount,
}
EOF

Nachdem Sie die Sicherheitsprofildatei erstellt haben, können Sie das Profil mit apparmor_parser in AppArmor laden:

/sbin/apparmor_parser --replace --write-cache /etc/apparmor.d/no_raw_net

Nach dem Laden können Sie das no-ping-Profil folgendermaßen testen:

$ docker run --rm -i --security-opt apparmor=no-ping debian:jessie ping -c3 8.8.8.8

Der Befehl erstellt einen Container mit dem Sicherheitsprofil no-ping und versucht, ping innerhalb des Containers auszuführen. Das Sicherheitsprofil sollte den Datenverkehr unterbinden, was zu einem Fehler wie diesem führt:

ping: Lacking privilege for raw socket.

Damit Ihr benutzerdefiniertes Sicherheitsprofil beim Start der Container-Optimized OS-Instanz vorhanden ist und auch nach einem Neustart beibehalten wird, können Sie das Profil mit cloud-init in /etc/apparmor.d installieren. Fügen Sie dazu den Metadaten Ihrer Instanz ein cloud-config-Skript als Wert des Schlüssels user-data hinzu.

Mit dem folgenden cloud-config-Skript wird /etc/apparmor.d das Profil no-ping hinzugefügt:

#cloud-configs

write_files:
- path: /etc/apparmor.d/no_raw_net
  permissions: 0644
  owner: root
  content: |
    #include <tunables/global>

    profile no-ping flags=(attach_disconnected,mediate_deleted) {
      #include <abstractions/base>

      network inet tcp,
      network inet udp,
      network inet icmp,

      deny network raw,
      deny network packet,
      file,
      mount,
    }

Sie können sicherstellen, dass die Datei das benutzerdefinierte Profil in AppArmor lädt und Docker anweist, es zu benutzen, indem Sie die folgenden Befehle auf Ihrer Instanz ausführen:

ExecStartPre=/sbin/apparmor_parser -r -W /etc/apparmor.d/no_raw_net
ExecStart=/usr/bin/docker run --security-opt apparmor=no-ping ...

Starten Sie die Instanz neu, nachdem Sie die Befehle ausgeführt haben, damit Sie anschließend den Container mit den Beschränkungen des benutzerdefinierten AppArmor-Profils ausführen können.