AS
Uploaded byAkihiro Suda
PPTX, PDF2,528 views

Rootlessコンテナ

https://connpass.com/event/84151/

Embed presentation

Downloaded 15 times
Copyright©2018 NTT Corp. All Rights Reserved. NTT ソフトウェアイノベーションセンタ 須田 瑛大 Rootlessコンテナ ContainerSIG LT (2018/05/28) https://slideshare.net/AkihiroSuda
2 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている • Docker Moby メンテナ (2016年11月~) • 2017年4月,OSSプロジェクトとしてのDockerはMobyに名前が変わった • 商用製品としてのDockerはMobyをベースとして開発されている • Moby BuildKitメンテナ (2017年夏 プロジェクト発足時~) • 次世代 `docker build` • CNCF containerdメンテナ (2017年9月~) • Kubernetesなどで利用できる次世代コンテナランタイム : ≒ : RHEL Fedora 自己紹介
3 Copyright©2018 NTT Corp. All Rights Reserved. コンテナは本当に安全なのか? ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア コンテナ技術での対策は一般に 困難 (例: Meltdown) バグを含んでいても,コンテナを 用いることで影響を限定できる
4 Copyright©2018 NTT Corp. All Rights Reserved. コンテナは本当に安全なのか? 課題 ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア
5 Copyright©2018 NTT Corp. All Rights Reserved. • Kubernetes CVE-2017-1002101 • volumeMounts.subPath 内のシンボリックリンクの扱いのバグのため,悪意を持った コンテナがホストのファイルシステムをマウントすることが可能 • Kubernetes CVE-2017-1002102 • secret, configMap及びdownward APIの扱いのバグのため,悪意を持ったコンテナ がホストのファイルシステム上の任意のファイルを削除することが可能 オーケストレータのバグの例 https://kubernetes.io/blog/2018/04/04/fixing-subpath-volume-vulnerability/ https://github.com/kubernetes/kubernetes/issues/60814
6 Copyright©2018 NTT Corp. All Rights Reserved. • Docker CVE-2014-9357 • LZMAアーカイブの扱いのバグのため,悪意を持ったコンテナがホスト上で任意のバイ ナリを実行可能 • containerd #2001 • イメージレイヤの扱いのバグのため,悪意を持ったコンテナが(起動されなくてもpull されるだけで)ホスト上の/tmpを削除可能 • runc CVE-2016-9962 • プロセスの属性設定の扱いのバグのため,悪意を持ったコンテナが,`runc exec`で 新たに起動されたプロセスのファイルディスクリプタを奪うことが可能 • runc CVE-2016-3697 • UID文字列のパーズのバグのため,悪意を持ったコンテナが,ユーザの意図しないUID で動作することが可能 ランタイムのバグの例
7 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナランタイムやオーケストレータを,非root権限で動かすことで,これら のバグの影響範囲を限定できる • runc: 既に凡そrootlessで動く • 後述の通り,一部はSUIDバイナリ を使う必要がある • containerd: runc側のパッチのマージ待ち • POCは既に動いている • cri-o: 未着手 • Kubernetes, Docker: 未着手 rootless container 既にimg (イメージビルダ)や Guardian (Clound Foundryのランタイム層)で 用いられている 注: Dockerの--userns-remapは似ているが別の機能 (コンテナ内のrootを別ユーザにマップするが, Docker daemon自体はrootで動く)
8 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナに複数のUID・GIDを割り当てる方法 • aptなどの実行に必要 • 方法が2つある • SUIDビットつきのnewuidmap, newgidmapを使う → 真のrootlessではない (セキュリティ上の懸念あり) • ptraceで複数のUID・GIDをエミュレートする → 遅い (が,seccompでアクセラレーション可能) • 理想的には,そもそもコンテナは単一のUID・GIDだけで動作すべき • ネットワークのルーティング • initial netnsとrootless netnsとをつなぐvethが作れないので,IPマスカレードでき ない • これも方法が2つある • SUIDビットつきのバイナリでvethを作る • TAPを使ってユーザモードのネットワークスタックを動かす (slirpなど) rootlessコンテナの課題
9 Copyright©2018 NTT Corp. All Rights Reserved. • cgroupsの設定 • 現状,SUIDバイナリが必要 • CoWファイルシステム • vanillaなoverlayfsは,rootlessでは動かない • Ubuntuなら動く • XFSなら,rootlessでもreflink (copy_file_range(2)) を使ったCoWが可能 • ただしファイル毎にreflinkするオーバヘッドがある rootlessコンテナの課題
10 Copyright©2018 NTT Corp. All Rights Reserved. • コンテナランタイムやオーケストレータにはバグがあるかもしれない • 非root権限で動かすことで,これらのバグの影響範囲を限定できる • SUIDバイナリをいかに排除するか(あるいは妥協するか)が課題 • 近々KubernetesやDockerもrootlessで動くようになる(はず) まとめ https://github.com/rootless-containers

More Related Content

PDF
今話題のいろいろなコンテナランタイムを比較してみた
byKohei Tokunaga
 
PDF
DockerとPodmanの比較
byAkihiro Suda
 
PDF
Dockerからcontainerdへの移行
byKohei Tokunaga
 
PDF
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
PPTX
Dockerからcontainerdへの移行
byAkihiro Suda
 
PDF
OCIランタイムの筆頭「runc」を俯瞰する
byKohei Tokunaga
 
PDF
単なるキャッシュじゃないよ!?infinispanの紹介
byAdvancedTechNight
 
PDF
TLS, HTTP/2演習
byshigeki_ohtsu
 
今話題のいろいろなコンテナランタイムを比較してみた
byKohei Tokunaga
 
DockerとPodmanの比較
byAkihiro Suda
 
Dockerからcontainerdへの移行
byKohei Tokunaga
 
Kubernetesのしくみ やさしく学ぶ 内部構造とアーキテクチャー
byToru Makabe
 
Dockerからcontainerdへの移行
byAkihiro Suda
 
OCIランタイムの筆頭「runc」を俯瞰する
byKohei Tokunaga
 
単なるキャッシュじゃないよ!?infinispanの紹介
byAdvancedTechNight
 
TLS, HTTP/2演習
byshigeki_ohtsu
 

What's hot

PDF
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
PPTX
分散システムについて語らせてくれ
byKumazaki Hiroki
 
PDF
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
byNTT DATA Technology & Innovation
 
PDF
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
PDF
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
PDF
CentOS Linux 8 の EOL と対応策の検討
byMasahito Zembutsu
 
PPTX
BuildKitによる高速でセキュアなイメージビルド
byAkihiro Suda
 
PDF
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
PDF
Dockerを支える技術
byEtsuji Nakai
 
PDF
[CEDEC 2021] 運用中タイトルでも怖くない! 『メルクストーリア』におけるハイパフォーマンス・ローコストなリアルタイム通信技術の導入事例
byNaoya Kishimoto
 
PPTX
iostat await svctm の 見かた、考え方
by歩 柴田
 
PDF
マイクロサービス 4つの分割アプローチ
by増田 亨
 
PPTX
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
byNTT DATA Technology & Innovation
 
PDF
Python 3.9からの新定番zoneinfoを使いこなそう
byRyuji Tsutsui
 
PDF
Linux女子部 systemd徹底入門
byEtsuji Nakai
 
PDF
忙しい人の5分で分かるDocker 2017年春Ver
byMasahito Zembutsu
 
PDF
エンジニアなら知っておきたい「仮想マシン」のしくみ v1.1 (hbstudy 17)
byTakeshi HASEGAWA
 
PDF
20分でわかるgVisor入門
byShuji Yamada
 
PPTX
本当は恐ろしい分散システムの話
byKumazaki Hiroki
 
PDF
Dockerfileを改善するためのBest Practice 2019年版
byMasahito Zembutsu
 
分散トレーシング技術について(Open tracingやjaeger)
byNTT Communications Technology Development
 
分散システムについて語らせてくれ
byKumazaki Hiroki
 
Grafana LokiではじめるKubernetesロギングハンズオン(NTT Tech Conference #4 ハンズオン資料)
byNTT DATA Technology & Innovation
 
PostgreSQLをKubernetes上で活用するためのOperator紹介!(Cloud Native Database Meetup #3 発表資料)
byNTT DATA Technology & Innovation
 
ゼロからはじめるKVM超入門
byVirtualTech Japan Inc.
 
CentOS Linux 8 の EOL と対応策の検討
byMasahito Zembutsu
 
BuildKitによる高速でセキュアなイメージビルド
byAkihiro Suda
 
実運用して分かったRabbit MQの良いところ・気をつけること #jjug
byYahoo!デベロッパーネットワーク
 
Dockerを支える技術
byEtsuji Nakai
 
[CEDEC 2021] 運用中タイトルでも怖くない! 『メルクストーリア』におけるハイパフォーマンス・ローコストなリアルタイム通信技術の導入事例
byNaoya Kishimoto
 
iostat await svctm の 見かた、考え方
by歩 柴田
 
マイクロサービス 4つの分割アプローチ
by増田 亨
 
え、まって。その並列分散処理、Kafkaのしくみでもできるの? Apache Kafkaの機能を利用した大規模ストリームデータの並列分散処理
byNTT DATA Technology & Innovation
 
Python 3.9からの新定番zoneinfoを使いこなそう
byRyuji Tsutsui
 
Linux女子部 systemd徹底入門
byEtsuji Nakai
 
忙しい人の5分で分かるDocker 2017年春Ver
byMasahito Zembutsu
 
エンジニアなら知っておきたい「仮想マシン」のしくみ v1.1 (hbstudy 17)
byTakeshi HASEGAWA
 
20分でわかるgVisor入門
byShuji Yamada
 
本当は恐ろしい分散システムの話
byKumazaki Hiroki
 
Dockerfileを改善するためのBest Practice 2019年版
byMasahito Zembutsu
 

Similar to Rootlessコンテナ

PPTX
root権限無しでKubernetesを動かす
byAkihiro Suda
 
PPTX
KubeCon EU報告(ランタイム関連,イメージ関連)
byAkihiro Suda
 
PDF
日本と世界のDockerコミュニティ
byAkihiro Suda
 
PDF
5分で振り返るKubeCon EU 2019:ランタイムとイメージの話題ダイジェスト
byKohei Tokunaga
 
PDF
OCIv2?!軽量高速なイケてる次世代イメージ仕様の最新動向を抑えよう!
byKohei Tokunaga
 
PDF
[1C5] Docker Comose & Swarm mode Orchestration (Japan Container Days - Day1)
byMasahito Zembutsu
 
PPTX
高速にコンテナを起動できるイメージフォーマット (NTT Tech Conference #2)
byAkihiro Suda
 
PDF
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
PDF
DOO-013_Docker 最新動向と Azure Container Service 入門
bydecode2016
 
PDF
コンテナ導入概要資料2018
byMasahito Zembutsu
 
PDF
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
PDF
Dockerコミュニティ近況
byAkihiro Suda
 
PDF
Docker国内外本番環境サービス事例のご紹介
byThinkIT_impress
 
PDF
Docker向けOSとか[LT] @ #techgirl 2015/01
byEmma Haruka Iwao
 
PDF
Docker事始めと最新動向 2015年6月
byEmma Haruka Iwao
 
PDF
[Docker Tokyo #35] Docker 20.10
byAkihiro Suda
 
PDF
オトナのDocker入門
byTsukasa Kato
 
PPTX
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
PDF
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
byAkihiro Suda
 
PDF
インフラエンジニアのためのRancherを使ったDocker運用入門
byMasahito Zembutsu
 
root権限無しでKubernetesを動かす
byAkihiro Suda
 
KubeCon EU報告(ランタイム関連,イメージ関連)
byAkihiro Suda
 
日本と世界のDockerコミュニティ
byAkihiro Suda
 
5分で振り返るKubeCon EU 2019:ランタイムとイメージの話題ダイジェスト
byKohei Tokunaga
 
OCIv2?!軽量高速なイケてる次世代イメージ仕様の最新動向を抑えよう!
byKohei Tokunaga
 
[1C5] Docker Comose & Swarm mode Orchestration (Japan Container Days - Day1)
byMasahito Zembutsu
 
高速にコンテナを起動できるイメージフォーマット (NTT Tech Conference #2)
byAkihiro Suda
 
コンテナ未経験新人が学ぶコンテナ技術入門
byKohei Tokunaga
 
DOO-013_Docker 最新動向と Azure Container Service 入門
bydecode2016
 
コンテナ導入概要資料2018
byMasahito Zembutsu
 
高速にコンテナを起動できるイメージフォーマット
byAkihiro Suda
 
Dockerコミュニティ近況
byAkihiro Suda
 
Docker国内外本番環境サービス事例のご紹介
byThinkIT_impress
 
Docker向けOSとか[LT] @ #techgirl 2015/01
byEmma Haruka Iwao
 
Docker事始めと最新動向 2015年6月
byEmma Haruka Iwao
 
[Docker Tokyo #35] Docker 20.10
byAkihiro Suda
 
オトナのDocker入門
byTsukasa Kato
 
Docker & Kubernetes基礎
byDaisuke Hiraoka
 
Dockerセキュリティ: 今すぐ役に立つテクニックから,次世代技術まで
byAkihiro Suda
 
インフラエンジニアのためのRancherを使ったDocker運用入門
byMasahito Zembutsu
 

More from Akihiro Suda

PDF
20251113 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20251112 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20250617 [KubeCon JP 2025] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
PDF
20250616 [KubeCon JP 2025] VexLLM - Silence Negligible CVE Alerts Using LLM.pdf
byAkihiro Suda
 
PDF
20250403 [KubeCon EU] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
PDF
20250403 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20250402 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20241115 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20241113 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
【情報科学若手の会 (2024/09/14】なぜオープンソースソフトウェアにコントリビュートすべきなのか
byAkihiro Suda
 
PDF
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
PDF
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
byAkihiro Suda
 
PDF
20240321 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
PDF
20240320 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
PDF
20240201 [HPC Containers] Rootless Containers.pdf
byAkihiro Suda
 
PDF
[Podman Special Event] Kubernetes in Rootless Podman
byAkihiro Suda
 
PDF
[KubeConNA2023] Lima pavilion
byAkihiro Suda
 
PDF
[KubeConNA2023] containerd pavilion
byAkihiro Suda
 
PDF
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
byAkihiro Suda
 
PDF
[CNCF TAG-Runtime] Usernetes Gen2
byAkihiro Suda
 
20251113 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
20251112 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
20250617 [KubeCon JP 2025] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
20250616 [KubeCon JP 2025] VexLLM - Silence Negligible CVE Alerts Using LLM.pdf
byAkihiro Suda
 
20250403 [KubeCon EU] containerd - Project Update and Deep Dive.pdf
byAkihiro Suda
 
20250403 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
20250402 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
20241115 [KubeCon NA Pavilion] Lima.pdf_
byAkihiro Suda
 
20241113 [KubeCon NA Pavilion] containerd.pdf
byAkihiro Suda
 
【情報科学若手の会 (2024/09/14】なぜオープンソースソフトウェアにコントリビュートすべきなのか
byAkihiro Suda
 
【Vuls祭り#10 (2024/08/20)】 VexLLM: LLMを用いたVEX自動生成ツール
byAkihiro Suda
 
20240415 [Container Plumbing Days] Usernetes Gen2 - Kubernetes in Rootless Do...
byAkihiro Suda
 
20240321 [KubeCon EU Pavilion] Lima.pdf_
byAkihiro Suda
 
20240320 [KubeCon EU Pavilion] containerd.pdf
byAkihiro Suda
 
20240201 [HPC Containers] Rootless Containers.pdf
byAkihiro Suda
 
[Podman Special Event] Kubernetes in Rootless Podman
byAkihiro Suda
 
[KubeConNA2023] Lima pavilion
byAkihiro Suda
 
[KubeConNA2023] containerd pavilion
byAkihiro Suda
 
[DockerConハイライト] OpenPubKeyによるイメージの署名と検証.pdf
byAkihiro Suda
 
[CNCF TAG-Runtime] Usernetes Gen2
byAkihiro Suda
 

Rootlessコンテナ

  • 1.
    Copyright©2018 NTT Corp.All Rights Reserved. NTT ソフトウェアイノベーションセンタ 須田 瑛大 Rootlessコンテナ ContainerSIG LT (2018/05/28) https://slideshare.net/AkihiroSuda
  • 2.
    2 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナ関連OSSのメンテナ(いわゆるコミッタ)を務めている • Docker Moby メンテナ (2016年11月~) • 2017年4月,OSSプロジェクトとしてのDockerはMobyに名前が変わった • 商用製品としてのDockerはMobyをベースとして開発されている • Moby BuildKitメンテナ (2017年夏 プロジェクト発足時~) • 次世代 `docker build` • CNCF containerdメンテナ (2017年9月~) • Kubernetesなどで利用できる次世代コンテナランタイム : ≒ : RHEL Fedora 自己紹介
  • 3.
    3 Copyright©2018 NTT Corp.All Rights Reserved. コンテナは本当に安全なのか? ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア コンテナ技術での対策は一般に 困難 (例: Meltdown) バグを含んでいても,コンテナを 用いることで影響を限定できる
  • 4.
    4 Copyright©2018 NTT Corp.All Rights Reserved. コンテナは本当に安全なのか? 課題 ユーザがデプロイするアプリケーション オーケストレータ (例: Kubernetes) 高位ランタイム (例: containerd) 低位ランタイム (例: runc) カーネル VM ハードウェア
  • 5.
    5 Copyright©2018 NTT Corp.All Rights Reserved. • Kubernetes CVE-2017-1002101 • volumeMounts.subPath 内のシンボリックリンクの扱いのバグのため,悪意を持った コンテナがホストのファイルシステムをマウントすることが可能 • Kubernetes CVE-2017-1002102 • secret, configMap及びdownward APIの扱いのバグのため,悪意を持ったコンテナ がホストのファイルシステム上の任意のファイルを削除することが可能 オーケストレータのバグの例 https://kubernetes.io/blog/2018/04/04/fixing-subpath-volume-vulnerability/ https://github.com/kubernetes/kubernetes/issues/60814
  • 6.
    6 Copyright©2018 NTT Corp.All Rights Reserved. • Docker CVE-2014-9357 • LZMAアーカイブの扱いのバグのため,悪意を持ったコンテナがホスト上で任意のバイ ナリを実行可能 • containerd #2001 • イメージレイヤの扱いのバグのため,悪意を持ったコンテナが(起動されなくてもpull されるだけで)ホスト上の/tmpを削除可能 • runc CVE-2016-9962 • プロセスの属性設定の扱いのバグのため,悪意を持ったコンテナが,`runc exec`で 新たに起動されたプロセスのファイルディスクリプタを奪うことが可能 • runc CVE-2016-3697 • UID文字列のパーズのバグのため,悪意を持ったコンテナが,ユーザの意図しないUID で動作することが可能 ランタイムのバグの例
  • 7.
    7 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナランタイムやオーケストレータを,非root権限で動かすことで,これら のバグの影響範囲を限定できる • runc: 既に凡そrootlessで動く • 後述の通り,一部はSUIDバイナリ を使う必要がある • containerd: runc側のパッチのマージ待ち • POCは既に動いている • cri-o: 未着手 • Kubernetes, Docker: 未着手 rootless container 既にimg (イメージビルダ)や Guardian (Clound Foundryのランタイム層)で 用いられている 注: Dockerの--userns-remapは似ているが別の機能 (コンテナ内のrootを別ユーザにマップするが, Docker daemon自体はrootで動く)
  • 8.
    8 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナに複数のUID・GIDを割り当てる方法 • aptなどの実行に必要 • 方法が2つある • SUIDビットつきのnewuidmap, newgidmapを使う → 真のrootlessではない (セキュリティ上の懸念あり) • ptraceで複数のUID・GIDをエミュレートする → 遅い (が,seccompでアクセラレーション可能) • 理想的には,そもそもコンテナは単一のUID・GIDだけで動作すべき • ネットワークのルーティング • initial netnsとrootless netnsとをつなぐvethが作れないので,IPマスカレードでき ない • これも方法が2つある • SUIDビットつきのバイナリでvethを作る • TAPを使ってユーザモードのネットワークスタックを動かす (slirpなど) rootlessコンテナの課題
  • 9.
    9 Copyright©2018 NTT Corp.All Rights Reserved. • cgroupsの設定 • 現状,SUIDバイナリが必要 • CoWファイルシステム • vanillaなoverlayfsは,rootlessでは動かない • Ubuntuなら動く • XFSなら,rootlessでもreflink (copy_file_range(2)) を使ったCoWが可能 • ただしファイル毎にreflinkするオーバヘッドがある rootlessコンテナの課題
  • 10.
    10 Copyright©2018 NTT Corp.All Rights Reserved. • コンテナランタイムやオーケストレータにはバグがあるかもしれない • 非root権限で動かすことで,これらのバグの影響範囲を限定できる • SUIDバイナリをいかに排除するか(あるいは妥協するか)が課題 • 近々KubernetesやDockerもrootlessで動くようになる(はず) まとめ https://github.com/rootless-containers