Как в контейнере сделаться рутом?

Question

[Антон Мисягин]

Использую готовый образ

Примонтирую к контейнеру, созданному на базе этого образа, вольюм, с файлами, которые были созданы в другом контейнере от рута. Естественно, в данном контейнере получаю permission denied на чтение этих файлов

Замечу, что пользователь nobody:

Что я пробовал. Собрать новый образ на базе этого, где прописывал USER root, - не помогло, выдавал примерно следующую ошибку:

unable to find user root: no matching entries in passwd file

Что делал еще:

RUN echo "root:x:0:0:root:/root:/bin/bash" >> /etc/passwd
USER root

результат был таким:

container_linux.go:380: starting container process caused: exec: "/bin/sh": stat /bin/sh: no such file or directory: unknown

Может у кого-нибудь получится либо запустить конкретно этот образ под root, либо подскажите как можно поступить.

P.S. это официальный образ продукта anycable от злых марсиан.
А пытаюсь сделать я anycable-go TLS:
anycable-go --port=443 -ssl_cert=path/to/ssl.cert ...
Собственно нет прав на чтение сертификата у nobody

Comments

[Drno]

Если просто ввести su + enter?

[сергей кузьмин]

Антон Мисягин в Dockerfile разберитесь со строкой

ADD .docker/passwd.nobody /etc/passwd

это копипует возможно урезанный файл passwd
в котором может и нет рута - посмотрите и вылечите

[сергей кузьмин]

Антон Мисягин, @Vamp
проверяем что в passwd:

docker pull anycable/anycable-go:1-alpine

docker run --entrypoint ash -it anycable/anycable-go:1-alpine

/ $ cat /etc/passwd

nobody:x:65534:65534:nobody:/home:/bin/false
/ $

там нет рута дейтсвительно
образ сильно урезанный

[Vamp]

сергей кузьмин, запись в /etc/passwd необязательна. Можно указывать пользователей не только по имени, но ещё и по uid: USER 0 в Dockerfile или docker exec -ti --user 0 bfad81cba22b /bin/sh

[сергей кузьмин]

Vamp, спасибо за справку

мне показалось довольно любопытный сценарий anycable :-)
работеть в таком контейнере точно неудобно

[Vamp]

сергей кузьмин, по философии докера работать в контейнере должно только приложение. Вам там работать не нужно. Поэтому чем меньше в контейнере мусора (файлов, не нужных для нормальной работы приложения), тем лучше (меньше поверхность атаки, меньший вес образа).

[сергей кузьмин]

Vamp, по моему есть теория и есть границы
обрезать рута это черезчур

[Vamp]

сергей кузьмин, никто его не обрезает. Да, у него нет конкретно имени root, но это не значит, что он перестал из-за этого существовать.

Рассматривайте ситуацию со стороны безопасности - если удалось похачить приложение в контейнере и обнаружить, скажем, RCE, то грош цена этой поистине эпичной дыре если кроме самого приложения даже нечего запустить в этом контейнере. Но если в контейнере есть bash, пользователи, ещё какие-то бинарники (особенно curl/wget), то ценность уязвимости значительно возрастает.

[сергей кузьмин]

Vamp, это обуждают но вроде не рекомендуют https://stackoverflow.com/questions/53411914/docke...

Answer 1

[Vamp]

Ваш образ создан from scratch. Это значит, что в нём только приложение. И больше ничего лишнего нет. В том числе и бинарника /bin/bash, путь к которому вы указываете в /etc/passwd

Возьмите образ на основе альпины: anycable/anycable-go:1.2-alpine
Там есть /bin/sh, пакетный менеджер и ещё всяких разных утилит по мелочи.

Comments

[Антон Мисягин]

https://github.com/anycable/anycable-go/issues/29
разработчик ответил, что этот ответ похож на правду. В итоге все получилось

Answer 2

[khevse]

Используйте при запуске обоих контейнеров опцию установки текущего пользователя, тогда права на файлы будут одинаковые как в контейнерах, так и в самой операционной системе, в которой выполняется запуск docker

docker run -it --rm --user "$(id -u):$(id -g)" -v"..." imagename:imagetag