Ubuntu 上 Overlay 与 OverlayFS 的安全加固指南
一 基线加固与内核更新
- 保持系统与内核处于最新安全补丁状态,及时修复与 OverlayFS 相关的本地提权问题,例如 CVE-2015-1328、CVE-2021-3493。这些漏洞多与在用户命名空间中的挂载与能力校验缺陷有关,修复通常包含在内核更新中。
- 仅授予最小必要权限:谨慎启用 user namespaces 与 非特权挂载;如非必须,避免给普通用户开放在 userns 中挂载 OverlayFS 的能力。
- 启用强制访问控制:使用 AppArmor 或 SELinux 对使用 OverlayFS 的服务/容器进行最小权限约束与系统调用白名单控制。
- 强化挂载选项:对关键挂载点使用 nosuid、nodev、noexec 等选项,降低被植入恶意可执行文件的风险。
- 最小权限运行:遵循最小权限原则,分离服务与运维职责,减少被提权后横向移动的可能性。
二 容器与主机场景的加固
- 容器场景(Docker/容器运行时):优先使用受支持且维护良好的存储驱动;在 /etc/docker/daemon.json 中将默认 storage-driver 设为更稳妥的选项(如非必要不启用实验性驱动),并定期升级容器运行时与镜像。
- 主机场景(非容器):避免在多用户、不可信环境中开放用户自行挂载 OverlayFS 的能力;对需要 OverlayFS 的系统服务,以最小权限账户运行,并通过 AppArmor/SELinux 限制其对敏感目录与关键系统调用的访问。
- 运行时加固:对容器与主机均启用 seccomp、capabilities drop(仅保留必需能力),并限制挂载命名空间与特权容器的使用。
三 只读根与临时覆盖层保护
- 使用 overlayroot 将根文件系统设为只读,所有写入重定向到 tmpfs 或持久化卷,重启即可恢复“出厂状态”,非常适合信息亭、嵌入式、IoT 等场景。
- 快速启用步骤:
- 安装:sudo apt-get install overlayroot
- 配置:编辑 /etc/overlayroot.conf,设置 overlayroot=“tmpfs”(可按需添加选项,如 swap=1、recurse=0)
- 重启后验证:mount 应显示 overlay 挂载,lowerdir 为只读根分区,upperdir 为 tmpfs
- 临时维护:在 GRUB 启动项添加 overlayroot=disabled 进入可写模式,完成维护后再恢复
- 适用收益:抵御对系统分区的大部分篡改,降低持久化风险,便于快速回滚。
四 审计与监控
- 部署并启用 auditd 审计服务,记录与 OverlayFS 相关的系统调用与策略决策:
- 安装:sudo apt install auditd audispd-plugins linux-audit
- 启动:sudo systemctl start auditd && sudo systemctl enable auditd
- 配置规则:在 /etc/audit/rules.d/ 下添加规则(如监控 mount、setxattr 等与 OverlayFS 关联的关键调用),并重新加载规则
- 检索与告警:使用 ausearch -m avc -ts recent -i 查看 AVC/权限相关日志,结合日志分析平台进行异常检测与告警
- 建议将审计日志集中存储与长期保留,并与主机/容器安全基线联动。
五 常见风险与修复要点
- 历史提权风险:
- CVE-2015-1328:早期 Ubuntu 在启用 CONFIG_USER_NS 与 FS_USERNS_MOUNT 时,非特权用户可在用户命名空间中挂载 OverlayFS 并触发本地提权;修复依赖内核更新与收紧 userns 使用策略。
- CVE-2021-3493:Ubuntu 内核中 OverlayFS 在用户命名空间下对文件系统能力与扩展属性校验不严,导致本地提权;通过引入更严格的 capability 命名空间校验 的补丁修复。
- 加固建议:
- 及时升级内核与系统软件包,确保包含上述漏洞的修复版本;
- 除非业务必需,限制或禁用非特权 OverlayFS 挂载;
- 对关键目录与敏感操作启用 AppArmor/SELinux 与 auditd 持续审计。
