问题引入
默认情况下,容器中的进程以 root 用户执行,并且这个 root 用户和宿主机中的 root 是同一个用户,这意味着:
- 容器中运行的进程,在合适的机会下,有权限控制宿主机中的一切;
- 容器中运行的进程,以 root 用户执行,外界很难追溯到真实的用户;
- 容器进程生成的文件,是 root用户所有,普通用户没有权限读取修改。
可知,以 root 权限执行是很不方便且很不安全的。
解决方法
在容器内创建用户并且切换用户;
- 增加一个新用户,名为user;
- 让这个用户有root权限;
- 置其密码为 password;
- Container启动后以user登录,并且直接到user的home目录下
将下面代码片段放到Dockerfile里面。
RUN useradd --create-home --no-log-init --shell /bin/bash user \
&& RUN adduser user sudo \
&& RUN echo &39;user:password&39; | chpasswd
USER user
WORKDIR /home/user使用fixuid修改容器中非root用户的uid和gid;
用上面的代码新建非 root 用户后,该用户的 uid 和 gid 一般是 1000:1000。
docker 和宿主机共享一套内核,内核控制的 uid 和 gid 则仍然只有一套。换句话说,我们在容器里以新建的 docker 用户(uid 1000)执行进程,宿主机会认为该进程是宿主机上 uid 为 1000 的用户执行的,而这个用户不一定是我们的账户,相当于我们冒名顶替了别人的用户,这样难以追溯到真实用户。
RUN addgroup --gid 1002 docker && \
adduser --uid 1002 --ingroup docker --home /home/docker --shell /bin/sh --gecos &34;&34; docker但是其它人用这个镜像的时候,uid 可能又不一样,这样写死很不方便,所以更好的解决方法是用 fixuid来在容器启动的时候切换 uid:
新建用户代码和上面一样
RUN useradd --create-home --no-log-init --shell /bin/bash user\
&& adduser user sudo \
&& echo &39;user:password&39; | chpasswd
安装配置 fixuid
RUN USER=user && \
GROUP=docker && \
curl -SsL http://github.com/boxboat/fixuid/releases/download/v0.4.1/fixuid-0.4.1-linux-amd64.tar.gz | tar -C /usr/local/bin -xzf - && \
chown root:root /usr/local/bin/fixuid && \
chmod 4755 /usr/local/bin/fixuid && \
mkdir -p /etc/fixuid && \
printf &34;user: $USER\ngroup: $GROUP\n&34; > /etc/fixuid/config.yml
USER user:docker
ENTRYPOINT [&34;fixuid&34;]此时启动容器时需要指定 uid 和 gid,命令如下:
docker run --rm -it -u $(id -u):$(id -g) image-name bash
暂无评论
发表评论