LoginSignup
2
2
@iwaseyusuke(岩瀬 友佑)

Photon OS 5.0 で Rootless コンテナを試す

Last updated at Posted at 2023-05-08

前回 の記事でも紹介した通り、この 5月頭に Photon OS 5.0 が GA しました。
この GA に関する情報を紹介した VMware Blog の記事の中に、Rootless コンテナという面白そうなキーワードを見つけました。

Towards Enhanced Security
...(中略)...
In addition, Rootless Containers allow unprivileged users to create and manage containers without having root privileges on the host machine, further preventing threats to the host.

通常、Docker コンテナは、Root 権限で実行されます。しかし、Root 権限でコンテナが実行されていると、コンテナ内の Root ユーザーは、コンテナホストから見ても Root ユーザーであり、非常に強い権限を持ちます。もし、この状況でコンテナ内に悪意のあるアプリが混入してしまった場合、システムの脆弱性を突かれ、コンテナホスト側を攻撃されてしまう可能性があります。そのため、コンテナ内でアプリを実行するユーザーとして、Root を避けることは非常に重要です。ただ、全ての開発者にこれを徹底させたり、また出来合いのコンテナアプリであった場合などには、なかなか難しいケースが存在します。

そこで、コンテナランタイムとして、そもそも Root 権限でコンテナを実行しない、つまり Rootless でコンテナを実行する技術があります。コンテナ自体が、そもそも Root 権限を持っていないので、仮にコンテナ内で Root が使われていても、コンテナホスト側からは権限を制御しやすい状態を保てます。

Rootless コンテナについては、もっと素晴らしい解説記事がネット上に沢山あるので、これ以上の説明は割愛しますが、コンテナ環境のセキュリティは、非常に注目を集めている領域であり、この Rootless コンテナは、なかなか面白い技術だと思っています。

冒頭で紹介した Photon OS 5.0 では、この Rootless コンテナの実装として、Rootless Docker (Docker の Rootless mode) が利用可能になっているので、今回はそれで遊んでみたいと思います。

前提

Photon OS の公式ドキュメント には、Photon OS 4.0 以降、かつ Docker 20.10.14-1 以降で利用可能と記載がありますが、せっかくなので、今回の記事では、Photon OS 5.0 を利用しています。

# cat /etc/photon-release
VMware Photon OS 5.0
PHOTON_BUILD_NUMBER=dde71ec57

手順

基本は、Photon OS の公式ドキュメントに従って、実施していきます。

依存パッケージのインストール

Rootless Docker では、newuidmapnewgidmap を利用します。これらは shadow というパッケージを通じて提供されているので、その他の依存パッケージと一緒にインストールしておきます。

tdnf install -y shadow fuse slirp4netns libslirp

docker-rootless パッケージのインストール

Docker の Rootless mode を利用するためのパッケージをインストールします。

tdnf install -y docker-rootless

実行ユーザーの作成

Rootless という名前が付いている通り、当たり前かも知れませんが、Root ユーザーでは実行できません。
しかし、Photon OS を OVA からデプロイしたままでは、Root ユーザーのみだと思いますので、Rootless Docker を試すためのユーザーを作成しておきます。

Photon OS でユーザーを作成する際、どのグループに所属させておくのが良いか、イマイチ正解が分かっていませんが、私は、↓こんな感じでユーザーを作成しています。

NAME=test_user  # 適宜変更
useradd -m -f -1 -G adm,sudo,docker $NAME
passwd $NAME
  • -m, --create-home
    • HOME ディレクトリを作成。
  • -f, --inactive
    • -1 を指定することで、パスワード失効期間を無効化し、無期限に指定。
  • -G, --groups
    • 所属させたいグループをカンマ区切りで指定。

また、ご参考までに、sudo コマンドがデフォルトではインストールされていないので、まだの場合には、インストールしておくと、ユーザーを切り替えた後、管理者権限での操作ができるので便利です。

tdnf install -y sudo

必要な設定の投入

公式ドキュメントでは、docker-rootless パッケージを入れた後、SSH で作成したユーザーとしてログインし直してから、必要な設定を投入しているのですが、権限周りで面倒なので、先に必要な設定を入れてしまいます。

まず、Rootless でコンテナを実行するユーザーが使って良いユーザー ID、グループ ID を設定しておきます。

NAME=test_user  # 適宜変更
echo "$NAME:100000:65536" >> /etc/subuid
echo "$NAME:100000:65536" >> /etc/subgid
chmod 644 /etc/subuid /etc/subgid

ファイルに書き込んだ内容の意味としては、どちらも「UID の 100000番から 65536個を $NAME のユーザーのサブ ID として割り当てる」という意味になります。
もし、複数ユーザーいる場合には、この範囲が被らないように設定する必要がありますので、注意してください。
例えば、もう一つユーザーを追加する場合には、「100000 + 65536番から、65536個」という設定に書き換える必要があります。

次に、非 Root ユーザーでも、コンテナを作るための Namespace を作成できるように、カーネルパラメータを投入します。

echo "kernel.unprivileged_userns_clone = 1" >> /etc/sysctl.d/50-rootless.conf
chmod 644 /etc/sysctl.d/50-rootless.conf
sysctl --system

コマンドの出力として、↓こんな感じの結果が返ってくれば、OK です。

出力例
* Applying /usr/lib/sysctl.d/50-coredump.conf ...
* Applying /usr/lib/sysctl.d/50-default.conf ...
* Applying /usr/lib/sysctl.d/50-pid-max.conf ...
* Applying /etc/sysctl.d/50-rootless.conf ...      # <-- チェック
* Applying /etc/sysctl.d/50-security-hardening.conf ...
...(略)...
/proc/sys/kernel/pid_max = 4194304
/proc/sys/kernel/unprivileged_userns_clone = 1     # <-- チェック
/proc/sys/kernel/randomize_va_space = 2
...(略)...

最後に、公式ドキュメントにおいては、「詳しくは、スクリプトによるチェック結果に従ってね」と書かれている部分の補足になりますが、ip_tables のカーネルモジュールをロードしておきます。これは、後述のスクリプトにおいて、スキップするためのオプションも用意されているとのことですが、念の為、ロードしました。

modprobe ip_tables

スクリプトによるチェック

実際に、Rootless Docker を実行するユーザーに切り替えて、要件が満たされているか、確認してみましょう。

まず、SSH コマンドを使って、先ほど作成したユーザーとしてログインします。

NAME=test_user  # 適宜変更
ssh $NAME@localhost

その上で、setup スクリプトで、要件が満たされているか、確認します。

dockerd-rootless-setuptool.sh check

何かしらのエラーが出力されたり、追加で「この設定を入れてくれ」と指示があれば、それを実行します。

例えば、通常の Docker (区別のために Rootful Docker と表現されてますが) が動いている場合には、それを停止する必要があります。

$ dockerd-rootless-setuptool.sh check
[ERROR] Aborting because rootful Docker (/var/run/docker.sock) is running and accessible. Set --force to ignore.

要件が満たせていれば、↓こんな感じの出力で、チェックが通ったことが分かります。

$ dockerd-rootless-setuptool.sh check
[INFO] Requirements are satisfied

スクリプトによるセットアップ

では、実際に setup スクリプトを実行していきます。

dockerd-rootless-setuptool.sh install

スクリプトが通った場合、最後に、↓こんな感じの指示が出るので、注意してください。

出力例
...(略)...
[INFO] Make sure the following environment variables are set (or add them to ~/.bashrc):

export PATH=/usr/bin:$PATH
Some applications may require the following environment variable too:
export DOCKER_HOST=unix:///run/user/1000/docker.sock

公式ドキュメントには、「.bashrc または .bash_profile のどっちかに書いてね」とありますが、実際に .bash_profile を開くと、↓こんな感じの記載があるので、.bash_profile に追記しています。

.bash_profile
...()...
# Personal environment variables and startup programs.

# ↓が追記部分
export PATH=/usr/bin:$PATH
export DOCKER_HOST=unix:///run/user/$(id -u)/docker.sock

# Personal aliases and functions should go in ~/.bashrc.  System wide
# environment variables and startup programs are in /etc/profile.
# System wide aliases and functions are in /etc/bashrc.
...()...

.bash_profile を読み込み直すか、再度 SSH ログインして、変更は反映させて、セットアップは完了です。

動作確認

まず、docker コマンドが使えるか、確認してみます。

$ docker login
Login with your Docker ID to push and pull images from Docker Hub. If you don't have a Docker ID, head over to https://hub.docker.com to create one.
Username: <USERNAME>
Password: <PASSWD>
WARNING! Your password will be stored unencrypted in /home/yusukei/.docker/config.json.
Configure a credential helper to remove this warning. See
https://docs.docker.com/engine/reference/commandline/login/#credentials-store

Login Succeeded

$ docker ps -a
CONTAINER ID   IMAGE     COMMAND   CREATED   STATUS    PORTS     NAMES

このあたりは、Rootless とあまり関係無いので、動きそうです。

ただ、実際に、お試しでコンテナを起動しようとすると、私の場合は、下記のようなエラーに遭遇しました。

$ docker run --rm -it photon
Unable to find image 'photon:latest' locally
latest: Pulling from library/photon
fc76184eab19: Pull complete
Digest: sha256:00b26232bb7244a7b4cc9c7737e7a0b0a722d5d2eb8284bca41dd16dcbaf2b03
Status: Downloaded newer image for photon:latest
docker: Error response from daemon: failed to create shim task: OCI runtime create failed: runc create failed: unable to start container process: unable to apply cgroup configuration: unable to start unit "docker-7cf2a1a5b40984dbcccc9bf1c58db1c9225b9504f0ef5696751e680673d054c7.scope" (properties [{Name:Description Value:"libcontainer container 7cf2a1a5b40984dbcccc9bf1c58db1c9225b9504f0ef5696751e680673d054c7"} {Name:Slice Value:"user.slice"} {Name:Delegate Value:true} {Name:PIDs Value:@au [1122]} {Name:MemoryAccounting Value:true} {Name:CPUAccounting Value:true} {Name:IOAccounting Value:true} {Name:TasksAccounting Value:true} {Name:DefaultDependencies Value:false}]): Permission denied: unknown.

調べてみると、systemdcgroup のドライバとして利用している場合、dbus がユーザーセッションサービスとして起動している必要があるようです。
私が知識不足で、うまく説明できないのですが、情報源は↓こちらです。

詰まるところ、何をすれば良いかと言うと、↓下記のコマンドを Rootless Docker を実行したいユーザーの権限 (= sudo は付けない) で実行しておけば良いようです。

systemctl --user start dbus

これでリトライして、コンテナが動けば OK です。

$ docker run --rm -it photon
root [ / ]# echo hoge
hoge

最後に

動作確認の部分で、ちょっと調べないといけないエラーに遭遇しましたが、Photon OS を使って、無事に Rootless コンテナを動作させることができました。
ちなみに... 実は Photon OS 4.0 の時点で、似たようなことができないか、試したことがあったのですが、記事にできていないということは... お察しの通りです...
が、Photon OS 5.0 では、これだけパッケージが用意されていたので、個人的には「案外あっさり動いたな」という印象です。

ただ、公式ドキュメントにも記載がある通り、コンテナに Root 権限がない分、Well-Known ポートをバインドしようとした時に、別途、権限の割り当てが必要だったり、いくらかの制限があります。そのため、既に出来合いのアプリを Rootless コンテナで動かそうとしたら、場合によっては、うまく動作させられない場合もありそうなので、注意が必要です。

とは言え、コンテナ環境においてセキュリティを向上させるためには、非常に面白い技術だと思うので、ご興味あれば、ぜひお試しいただければと思います。

2
2
0

Register as a new user and use Qiita more conveniently

  1. You get articles that match your needs
  2. You can efficiently read back useful information
  3. You can use dark theme
What you can do with signing up
Sign upLogin
2
2