Docker 容器隔離關鍵技術：Seccomp

在 Docker 容器中，Seccomp（Secure Computing Mode） 是一種內核安全機制，用來限制容器內的程序可以調用哪些系統(tǒng)調用（Syscalls）。通過列清單的方式，Seccomp 可以指定哪些系統(tǒng)調用被允許、被拒絕或需要特殊處理，從而增強容器的安全性。

---

什么是 Seccomp？

通俗比喻

想象你是一個公司安全管理員（宿主機），容器里的程序就像員工，而系統(tǒng)調用（Syscalls）就是員工用來操作外界資源的方式，比如：

• 打電話訂貨（文件操作）。
• 打電話開賬戶（網絡操作）。
• 打電話調整公司系統(tǒng)（高權限操作）。

Seccomp 就是員工的“電話管理系統(tǒng)”：

• 只允許員工打某些“安全電話”（系統(tǒng)調用）。
• 拒絕任何“高風險電話”（例如直接改系統(tǒng)配置）。
• 如果電話違規(guī)，直接掛斷或報警。

---

Seccomp 的作用

1. 限制系統(tǒng)調用范圍：Seccomp 通過列清單（白名單或黑名單）的方式，限制程序只能調用經過允許的系統(tǒng)調用。
2. 增強容器安全性：減少惡意程序通過高風險系統(tǒng)調用（如 ptrace 或 mount）攻擊宿主機。
3. 減少攻擊面：系統(tǒng)調用是與內核交互的關鍵接口，限制調用種類可以降低被攻擊的可能性。

---

Seccomp 與 Capabilities 的關系

1. 核心區(qū)別：

   • Seccomp 限制的是容器內進程調用的“系統(tǒng)調用”（Syscalls）。
   • Capabilities 限制的是容器的“權限”（如掛載、修改文件權限）。

   比喻：

   • Capabilities 是限制“容器能不能開某扇門”（權限）。
   • Seccomp 是限制“容器能不能用某種工具”（系統(tǒng)調用）。

2. 互相配合：

   • Capabilities 可以禁用容器的高權限操作（如 CAP_SYS_ADMIN 禁用掛載權限）。
   • Seccomp 則進一步限制具體的系統(tǒng)調用，即使擁有 CAP_SYS_ADMIN 權限，也可以通過禁止 mount 調用來加強安全。

---

Seccomp 在 Docker 中的使用

1. 默認 Seccomp 策略

Docker 默認啟用了一個標準的 Seccomp 策略文件（default.json），其特點是：

• 允許常用系統(tǒng)調用：如 read、write、open。
• 禁止高風險系統(tǒng)調用：如 keyctl（管理內核密鑰）、create_module（加載內核模塊）、delete_module（卸載內核模塊）。
• 限制進程相關調用：如 ptrace（調試進程）。

這種默認策略適合大多數(shù)容器任務，同時保證了安全性和功能性之間的平衡。

2. 自定義 Seccomp 策略

如果默認策略無法滿足需求（如更嚴格的限制），可以使用自定義策略文件，以 JSON 格式定義：

{"defaultAction": "SCMP_ACT_ERRNO","syscalls": [{"names": ["read", "write", "exit", "sigreturn"],"action": "SCMP_ACT_ALLOW"},{"names": ["ptrace", "kexec_load"],"action": "SCMP_ACT_ERRNO"}]
}

• SCMP_ACT_ALLOW：允許調用。
• SCMP_ACT_ERRNO：拒絕調用并返回錯誤。

運行容器時加載自定義策略：

docker run --security-opt seccomp=/path/to/custom-seccomp.json -it ubuntu

3. 禁用 Seccomp

某些情況下可能需要完全禁用 Seccomp（如調試容器）：

docker run --security-opt seccomp=unconfined -it ubuntu

---

特權容器無法配置 Seccomp

什么是特權容器？

特權容器（Privileged Container）是 Docker 中一種特殊模式，啟動時通過 --privileged 參數(shù)開啟：

docker run --privileged -it ubuntu

特性：

• 擁有幾乎所有的系統(tǒng)權限（類似于直接運行在宿主機上）。
• 訪問宿主機的所有設備（如 /dev）。
• 默認禁用 Seccomp、AppArmor 等安全機制。

為什么特權容器無法配置 Seccomp？

特權容器的權限設計初衷是為了繞過所有安全限制，因此它會自動禁用 Seccomp。即使嘗試配置自定義 Seccomp 策略，也會被忽略。

安全風險

由于特權容器擁有宿主機級別的權限，攻擊者可以輕易利用容器中的漏洞獲取宿主機的控制權。建議僅在測試或特定需求場景中使用特權容器。

---

Seccomp 常見系統(tǒng)調用限制

系統(tǒng)調用	作用	默認策略	安全建議
read	讀取文件或輸入數(shù)據(jù)	允許	通常是安全的
write	寫入文件或輸出數(shù)據(jù)	允許	通常是安全的
mount	掛載文件系統(tǒng)	禁止	高風險，應禁用
umount	卸載文件系統(tǒng)	禁止	高風險，應禁用
ptrace	調試其他進程	禁止	高風險，應禁用
clone	克隆當前進程	限制	根據(jù)任務需求謹慎允許
keyctl	管理內核密鑰	禁止	極高風險，應禁用
create_module	加載內核模塊	禁止	極高風險，應禁用

---

Seccomp 的優(yōu)點

1. 減少攻擊面：
   • 限制系統(tǒng)調用的種類，減少攻擊者的利用路徑。
2. 增強隔離性：
   • 即使容器被攻破，Seccomp 限制可以防止惡意程序濫用關鍵系統(tǒng)調用。
3. 靈活性：
   • 支持自定義策略，滿足不同場景需求。

---

Seccomp 的局限性

1. 特權容器無法使用：
   • 特權容器（--privileged）直接繞過 Seccomp，無法配置任何策略。
2. 需要配置策略：
   • 默認策略可能無法滿足所有場景，自定義策略需要理解系統(tǒng)調用。
3. 依賴內核版本：
   • Seccomp 是內核功能，某些舊版本內核可能不支持。

---

Seccomp 與 Capabilities 的對比

特性	Seccomp	Capabilities
作用	限制系統(tǒng)調用（Syscalls）。	限制操作權限（Privileges）。
粒度	細粒度控制，指定允許或禁止的系統(tǒng)調用。	中粒度控制，按權限分配任務能力。
示例	禁止 ptrace 調試其他進程。	禁止 CAP_SYS_ADMIN 系統(tǒng)管理權限。
配合場景	禁止高風險的系統(tǒng)調用。	限制容器的高權限操作。

---

總結

Seccomp 是 Docker 容器的一項重要安全技術。它通過限制系統(tǒng)調用的范圍，減少攻擊面，提升容器的隔離性。盡管默認啟用了標準策略，但 Seccomp 可以根據(jù)需求進行自定義，進一步加強容器的安全性。

重要注意：特權容器（--privileged）默認禁用 Seccomp。由于特權容器本質上繞過了所有安全限制，使用時需極其謹慎。