https://robonet.me/tags/dotnet/ @robonet mikhail@robonet.me ru Aegea 11.4 (v4171e) mikhail@robonet.me @robonet mikhail@robonet.me no 1 https://robonet.me/all/distroless-docker/ Sat, 13 Jan 2024 18:54:26 +0300 https://robonet.me/all/distroless-docker/ <p>Пару лет назад пришлось внедрять «коробочное» решение в одну организацию со строгими политиками безопасности для внешних поставщиков, одна из самых неприятных из которых была — необходимость полного отсутствия любых известных уязвимостей в поставке.</p> <p>Казалось бы — взять последнюю версию базового образа популярной операционной системы, и все будет хорошо, но в реальной жизни даже в них практически всегда есть известные уязвимости.</p> <div class="e2-text-picture"> <a href="https://snyk.io/test/docker/alpine%3A3.19" class="e2-text-picture-link"> <img src="https://robonet.me/pictures/distroless-docker.png" width="1998" height="434" alt="" /> </a><div class="e2-text-caption">Даже в самом «минимальном» базовом образе alpine могут быть уязвимости (Данный пример как раз просто починится с помощью apk -U upgrade, но кого это волнует)</div> </div> <p>Так что единственным вариантом для решения этой проблемы раз и на всегда была сборка собственного базового docker образа из «scratch».</p> <p>Пример такого образа вы можете посмотреть тут <a href="https://github.com/RoboNET/dotnet-scratch/blob/main/Dockerfile">https://github.com/RoboNET/dotnet-scratch/blob/main/Dockerfile</a></p> <p>Прокомментирую только некоторые моменты</p> <pre class="e2-text-code"><code class="dockerfile"> RUN adduser \ --disabled-password \ --gecos "" \ --home "/nonexistent" \ --shell "/sbin/nologin" \ --no-create-home \ --uid "${UID}" \ "${USER}" </code> </pre> <pre class="e2-text-code"><code class="dockerfile"> USER $UID:$UID </code> </pre> <p>Раз уж мы делаем базовый образ в целях безопасности, то надо постараться закрыть как можно большее число векторов атаки. По умолчанию, все команды и ENTRYPOINT в докер образе будет запускаться от root пользователя, так что нам необходимо создать и затем указать, что надо использовать другого пользователя.</p> <pre class="e2-text-code"><code class="dockerfile"> RUN apk add --no-cache \ icu-libs \ icu-data-full \ tzdata </code> </pre> <pre class="e2-text-code"><code class="dockerfile"> COPY --from=globalization-builder /usr/share/icu /usr/share/icu COPY --from=globalization-builder /usr/share/zoneinfo /usr/share/zoneinfo </code> </pre> <p>По умолчанию alpine не содержит в себе информации о локализации и таймзонах, так что если в вашем приложении необходимо с ними работать, то придется вручную поставить нужные пакеты и потом не забыть скопировать их в свой образ.</p> <pre class="e2-text-code"><code class="dockerfile"> ENV ASPNETCORE_URLS=http://+:8080 \ DOTNET_RUNNING_IN_CONTAINER=true \ DOTNET_SYSTEM_GLOBALIZATION_INVARIANT=true \ TMPDIR=/tmp \ PATH=$PATH:$DOTNET_ROOT:$DOTNET_ROOT/tools </code> </pre> <p>Чтобы дотнет понимал, что работает в контейнере, и знал нужные ему пути, необходимо указать ряд важных переменных окружения.</p> <pre class="e2-text-code"><code class="dockerfile"> RUN dotnet publish -c Release \ -r linux-musl-arm64 -p:PublishReadyToRun=true \ -p:PublishTrimmed=true -p:PublishSingleFile=true \ -o out </code> </pre> <p>Поскольку мы не включаем весь рантайм в приложение, а только необходимые зависимости, нам необходимо собирать наше приложение с включением всего рантайма в билд.</p> <h2>А может ли это пригодиться и для других проектов?</h2> <p>На самом деле этот подход имеет как и плюсы, так и минусы.<br /> Из основных плюсов можно выделить:</p> <ul> <li>отсутствие лишних библиотек и бинарных файлов, что уменьшает вероятность взлома приложения через уязвимые компоненты</li> <li>повышение безопасности за счет запуска приложения не от root пользователя, что не позволит как-то вмешаться в оставшиеся зависимости, даже если в нашем приложении как-то смогли выполнить зловредный код через уязвимость</li> <li>уменьшение размера приложения, особенно если не добавлять данные о локализации и таймзонах</li> </ul> <p>Из минусов, с которыми приходилось сталкиваться:</p> <ul> <li>приходится поддерживать свой собственный базовый образ</li> <li>сложнее происходит удаленная отладка</li> </ul> <h2>И как это использовать?</h2> <p>Если хотите начать использовать distroless и rootless образы, то с 8 версии дотнета microsoft собирать рантайм и зависимости в том числе и в distroless образах, например cbl-mariner <a href="https://github.com/dotnet/dotnet-docker/blob/main/src/aspnet/8.0/cbl-mariner2.0-distroless/amd64/Dockerfile">https://github.com/dotnet/dotnet-docker/blob/main/src/aspnet/8.0/cbl-mariner2.0-distroless/amd64/Dockerfile</a></p> <p>И так-же он внес некоторые изменения в поведении по умолчанию, чтобы повысить безопасности приложений, например использование rootless подхода <a href="https://devblogs.microsoft.com/dotnet/securing-containers-with-rootless/">https://devblogs.microsoft.com/dotnet/securing-containers-with-rootless/</a></p> <p>А если вам надо собрать такие образы под более старые версии, то можете посмотреть <a href="https://github.com/RoboNET/dotnet-scratch/blob/main/examples/Minimal/Dockerfile">примеры использования моих образов</a>, или собрать свои на их основе.</p>