Cnitch,又名Snitch或Container Snitch,它是一款针对Docker引擎的运行进程权限检测工具。Cnitch本质上来说是一个简单的框架和命令行工具,该工具可以帮助研究人员监控Docker容器内的运行进程,如果有进程是以root权限的话,研究人员将第一时间收到Cnitch的通知。
为什么我们需要去识别Docker引擎内以root权限运行的进程呢?如果你还不知道的话,可以先看看以下这篇文章。
http://canihaznonprivilegedcontainers.info/
当时本人在开发Cnitch的过程中,我以为我遇到了一个应用程序漏洞,当时Cnitch报告自身是一个Docker容器内的root进程。当时我不确定到底发生什么了,因为根据Dockerfile内的声明,我创建的用户并不是以root权限下运行的。经过大量的调试和验证,我决定再次检查Dockerfile的内容,其内容如下:
当我在测试应用程序容器以了解到底发生了什么时,我必须要将USER命令注释掉。经过一系列研究之后,我便将发现的问题以及解决方案集成到了Cnitch之中。
Cnitch能够通过API来跟Docker引擎连接,并查询当前正在运行的容器。接下来,该工具将会检测容器内正在运行的进程,并识别运行的进程是否是以root用户权限运行的。
当Cnitch检测到了一个root进程之后,便会将相关信息发送给Cnitch中的一个可配置报告模块,并允许研究人员对相关信息进行编辑或进行其他操作:
目前,Cnitch可以将发现的信息报告给StatsD和StdOut,报告后端允许研究人员自行扩展,以便支持任何后台服务器。除此之外,Cnitch的可扩展特性还可以帮助研究人员构建一个后台系统以支持日志存储或日志聚合,而且整个过程非常简单。
StatsD
Cnitch会利用cnitch.exception.root_process方法将检测到的信息发送给StatsD,并且每条信息都会使用Cnitch示例的host名称以及container名称进行标记。
StdOut
StdOut是一个简单的输出日志记录组件,它可以接收并记录Cnitch反馈回来的监测信息。
广大研究人员可以使用下列命令将项目源码克隆至本地:
我们可以在一个Docker容器内运行Cnitch,也可以直接在本地运行,但在工具运行之前需要设置服务器的URL地址、Docker API和socket路径,所有的参数都需要通过环境变量“DOCKER_HOST”来设置。
参数选项
命令行
设置Docker引擎API的“DOCKER_HOST”环境变量,然后使用下列参数在命令行工具中运行Cnitch:
Cnitch能够在一个非特权容器中运行,如果你想要使用Docker sock来访问API,你还需要将Cnitch用户添加至docker组。这一步可以通过“—group-add”参数来实现:
下面的代码可以使用Docker sock文件来实现API访问:
在下面的例子中,显示了Cnitch如何将数据导出至StatsD,其中的Docker Compose栈位于该项目的https://blog.csdn.net/weixin_32148341/article/details/example目录中
运行上述命令之后,在浏览器中访问“http://[docker host ip]:3000”,你将会看到如下图所示的Grafana登录界面:
使用下列凭证信息登录Grafana:
用户名:admin
密码:admin
接下来,选择Cnitch仪表盘,这个仪表盘会显示当前目标容器内正在运行的root进程: