如何在Docker容器中安装和使用gosu工具

于 2025-06-08 09:20:49 发布
阅读量319 收藏 9
点赞数 4
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/gitblog_00033/article/details/148508723
版权

如何在Docker容器中安装和使用gosu工具

gosu Simple Go-based setuid+setgid+setgroups+exec gosu 项目地址: https://gitcode.com/gh_mirrors/go/gosu

什么是gosu

gosu是一个简单的Go语言编写的工具,主要用于在Docker容器中以特定用户身份运行命令。它解决了传统su和sudo命令在容器环境中使用时的一些问题,如环境变量处理和信号传递等。

为什么需要gosu

在Docker容器中,我们经常需要以非root用户运行应用程序以提高安全性。gosu提供了一种简单可靠的方式来实现这一点,相比传统的su和sudo命令,gosu具有以下优势:

  1. 不会产生额外的进程(如终端会话)
  2. 正确处理信号传递
  3. 保持环境变量不变
  4. 更简单的命令行语法

安装方法

在Debian/Ubuntu基础镜像中安装

对于基于Debian的镜像(如Debian Stretch或更新版本),最简单的方法是使用系统包管理器:

RUN set -eux; \
    apt-get update; \
    apt-get install -y gosu; \
    rm -rf /var/lib/apt/lists/*; \
    gosu nobody true

如果需要安装特定版本的gosu,可以使用以下方法:

ENV GOSU_VERSION 1.17
RUN set -eux; \
    savedAptMark="$(apt-mark showmanual)"; \
    apt-get update; \
    apt-get install -y --no-install-recommends ca-certificates gnupg wget; \
    rm -rf /var/lib/apt/lists/*; \
    \
    dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; \
    wget -O /usr/local/bin/gosu "下载地址/gosu-$dpkgArch"; \
    wget -O /usr/local/bin/gosu.asc "下载地址/gosu-$dpkgArch.asc"; \
    \
    export GNUPGHOME="$(mktemp -d)"; \
    gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; \
    gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; \
    gpgconf --kill all; \
    rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; \
    \
    apt-mark auto '.*' > /dev/null; \
    [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; \
    apt-get purge -y --auto-remove -o APT::AutoRemove::RecommendsImportant=false; \
    \
    chmod +x /usr/local/bin/gosu; \
    gosu --version; \
    gosu nobody true

在Alpine Linux基础镜像中安装

对于Alpine Linux镜像(3.7或更新版本):

ENV GOSU_VERSION 1.17
RUN set -eux; \
    apk add --no-cache --virtual .gosu-deps \
        ca-certificates \
        dpkg \
        gnupg \
    ; \
    \
    dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; \
    wget -O /usr/local/bin/gosu "下载地址/gosu-$dpkgArch"; \
    wget -O /usr/local/bin/gosu.asc "下载地址/gosu-$dpkgArch.asc"; \
    \
    export GNUPGHOME="$(mktemp -d)"; \
    gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; \
    gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; \
    gpgconf --kill all; \
    rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; \
    \
    apk del --no-network .gosu-deps; \
    \
    chmod +x /usr/local/bin/gosu; \
    gosu --version; \
    gosu nobody true

在RPM基础镜像中安装(CentOS/Oracle Linux等)

对于基于RPM的发行版:

ENV GOSU_VERSION 1.17
RUN set -eux; \
    rpmArch="$(rpm --query --queryformat='%{ARCH}' rpm)"; \
    case "$rpmArch" in \
        aarch64) dpkgArch='arm64' ;; \
        armv[67]*) dpkgArch='armhf' ;; \
        i[3456]86) dpkgArch='i386' ;; \
        ppc64le) dpkgArch='ppc64el' ;; \
        riscv64 | s390x) dpkgArch="$rpmArch" ;; \
        x86_64) dpkgArch='amd64' ;; \
        *) echo >&2 "error: unknown/unsupported architecture '$rpmArch'"; exit 1 ;; \
    esac; \
    wget -O /usr/local/bin/gosu "下载地址/gosu-$dpkgArch"; \
    wget -O /usr/local/bin/gosu.asc "下载地址/gosu-$dpkgArch.asc"; \
    \
    export GNUPGHOME="$(mktemp -d)"; \
    gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; \
    gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; \
    gpgconf --kill all; \
    rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; \
    \
    chmod +x /usr/local/bin/gosu; \
    gosu --version; \
    gosu nobody true

快速安装方法

如果不想手动安装,可以直接从官方镜像复制gosu二进制文件:

COPY --from=官方镜像 /gosu /usr/local/bin/

使用gosu的最佳实践

  1. 在Dockerfile中安装gosu后,建议立即测试它是否能正常工作(如示例中的gosu nobody true
  2. 在容器启动脚本中使用gosu切换用户,而不是在Dockerfile中
  3. 为应用程序创建专用用户,而不是使用现有的系统用户
  4. 确保gosu二进制文件具有可执行权限

常见问题解答

Q: 为什么需要验证gosu的签名?

A: 验证签名可以确保下载的gosu二进制文件确实来自官方发布,没有被篡改,这是安全最佳实践。

Q: 如何选择gosu的版本?

A: 通常建议使用最新稳定版本,可以在安装时设置GOSU_VERSION环境变量来指定版本号。

Q: 为什么在安装后要运行gosu nobody true

A: 这是一个简单的测试,验证gosu是否能够正常工作。nobody是一个几乎存在于所有Unix系统上的用户,这个命令尝试以nobody用户身份运行true命令,如果成功则说明gosu安装正确。

通过本文介绍的方法,您可以在各种基础镜像中安全地安装和使用gosu工具,从而更好地管理Docker容器中的用户权限问题。

gosu Simple Go-based setuid+setgid+setgroups+exec gosu 项目地址: https://gitcode.com/gh_mirrors/go/gosu

创作声明:本文部分内容由AI辅助生成(AIGC),仅供参考

Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4945
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
Centos用gosu安装
Leonardy的博客
03-10 2684
gosu是什么? gosu是个用来提升指定账号的权限的工具,作用与sudo命令类似,而docker使用gosu的起源来自安全问题; 就连docker的官方也在说,不要在容器使用sudo命令,因为sudo的执行机制问题,如下所示,我们在启动容器时执行了sudo ps -ef命令,发现我们命名只执行了一条命令,但是竟然会有2个进程,请注意PID,真正执行ps -ef的命令的PID是6,而不知1,...
dockergosu
2401_87299935的博客
09-21 1306
上面的结果展示了两个关键信息:第一,redis服务是redis账号启动的,并非root;第二,redis服务的PID等于1,这很重要,宿主机执行docker stop命令时,该进程可以收到SIGTERM信号量,于是redis应用可以做一些退出前的准备工作,例如保存变量、退出循环等,也就是优雅停机(Gracefully Stopping);
docker中的gosusu-exec工具
zyy247796143的博客
01-03 2243
Dockerfile中做出的权限配置,对非volume来说是可以生效的,而对volume则不然。一般的临时方案,都是去手动修改权限。常见的现象是,container对该路径并无写权限,以致其中服务的各种千奇百怪的问题。当指定了 ENTRYPOINT 后,CMD 的含义就发生了改变,不再是直接的运行其命令,而是将 CMD 的内容作为参数传给 ENTRYPOINT 指令。在容器运行的时候通过ENTRYPOINT来做一些操作,比如把volume挂载的目录权限给改正确,然后再切换普通用户运行正常的程序进程。
docker入门使用
weixin_43704834的博客
05-15 565
docker入门使用,常规命令
Docker容器技术与应用(项目2 Docker容器安装使用
KamRoseLee的博客
05-27 3076
项目2 Docker容器安装使用下面重点介绍Docker安装,镜像Image、镜像仓库Registry容器Container的使用管理。图2.1 Docker镜像、容器仓库之间的主要操作任务2.1 Docker安装2.1.1 CentOS操作系统安装 Docker1)系统要求Docker最低支持CentOS 7,Docker 需要安装在 64 位的平台,并且内核版本不低于 3.10。 C...
【一站解决】Docker容器进阶(一)——安装、常用命令、镜像制作发布
qq_37535960的博客
01-17 2475
根据作者在项目实践中的总结,将开发运维中常用的Docker容器container操作进行总结,涵盖Docker环境搭建、常用命令总结以及Docker镜像image制作发布等,并给出较为通用的Dockerfile模板,目的是整合常见用法,提供一篇工具性文章,满足日常开发运维之需求。
Docker:通过容器生成镜像的三种方法
踩坑之路
06-20 8304
Docker中有时需要修改别人制作好的镜像,一般的方法就是通过创建镜像的容器,将容器进行修改,之后通过容器创建新的镜像。本文主要介绍Docker容器生成镜像的三种方法。
dockergosu,2024年最新java搭建分布式架构
2401_87555420的博客
11-19 630
还是自己动手来证实一下吧,我的环境信息如下:操作系统:CentOS Linux release 7.6.1810上面的结果展示了两个关键信息:第一,redis服务是redis账号启动的,并非root;第二,redis服务的PID等于1,这很重要,宿主机执行docker stop命令时,该进程可以收到SIGTERM信号量,于是redis应用可以做一些退出前的准备工作,例如保存变量、退出循环等,也就是优雅停机(Gracefully Stopping);
WSL2 系统下 docker-desktop 容器安装 laravel 框架
孤舟残月梦还长存的专栏
03-05 2045
目录 一、laravel 官方文档的容器安装方法对于国内是没办法安装的 二、使用 laravel 官方自带的 sail 命令安装 laravel 容器 1.首先,要获取一个 laravel 框架,使用 phpstudy 软件用 composer 拉取一个laravel 框架 2.Windows 系统使用 Terminal 工具进入 WSL2 子系统 3.添加项目的 linux 镜像源 4.修改 Dockerfile 里的内容 5.整理安装文件及目录 6.运行容器 配置开发环境是需要..
云计算与云原生 — Docker 容器技术完全解析
烟云的计算
04-11 3533
目录 文章目录目录Docker OverviewDocker 的组件Docker 的软件架构Docker ClientDocker DaemonDocker RegistryGraphDriverGraphdriverNetworkdriverExecdriverLibcontainerDocker ContainerDocker安装(CentOS)Docker 的 Image 与 DockerfileImageDockerfile构建指令FROM(指定 base image)MAINTAINER(指定
Docker私人学习笔记
奕辰杰的博客
08-21 1472
docker是基于Go语言实现的开源容器项目。诞生于2013年年初,最初发起者是dotCloud公司。docker开源后受到业界广泛的关注与参与,目前已有80多个相关开源组件项目,逐渐形成了围绕docker容器的完整生态体系。本文主要记录docker起步学习。
通过 Docker 实现国产数据库 OpenGauss 开发环境搭建
晨曦蜗牛
03-26 1205
-!:-!:-!:-!!:-$(${!
简单函数绘图语言解释器的设计与实现
06-12
资源下载链接为: https://pan.quark.cn/s/2dd7a62c6319 开发一个用于简单绘图语言的解释器,该解释器能够接收以该绘图语言编写的源代码。经过词法、语法语义分析后,解释器将根据源代码中定义的图形内容,在显示器(或窗口)上绘制出相应的图形。在实现过程中,利用编译工具LEX/YACC来定义绘图语言的词法规则语法规则,而解释器的语义部分则使用C/C++语言进行编写。实验所使用的操作系统为Windows 10,开发环境为Microsoft Visual Studio Community 2017版本。整个项目任务分为三个主要模块:词法分析模块、语法分析模块语义分析模块。
软件开发项目投资计划书.docx
06-12
软件开发项目投资计划书.docx
基于TCP的简单共享屏幕软件(c++QT制作)
最新发布
06-12
客户端服务端的源码
软件项目合作协议专业版.doc
06-12
软件项目合作协议专业版.doc
软件工程师竞业禁止范本最新整理版.doc
06-12
软件工程师竞业禁止范本最新整理版.doc
CSDN中文IT社区600万资源文件
06-12
资源下载链接为: https://pan.quark.cn/s/fe886b97b3d0 “CSDN-中文IT社区-600万.rar” 这个文件名称表明它与CSDN(中国软件开发者网络)有关,且包含600万份资源。CSDN作为中国最大的IT技术交流平台,覆盖了编程语言、软件开发、网络安全、大数据、云计算等多个领域的知识资讯。该压缩包可能包含用户数据、文章、讨论话题或学习资料等。其内容可能极为丰富,涵盖大量用户生成内容,如博客文章、论坛帖子、问答记录等,对于研究IT行业趋势、开发者行为技术热点等具有重要价值。尽管目前没有具体内容,但推测可能涉及“编程”“开发”“社区数据”“技术文章”“学习资源”等标签。 从文件名称来看,压缩包的内容可能包括以下几类:一是用户数据,如注册信息、活动记录、帖子评论等,可用于分析用户行为社区活跃度;二是技术文章博客,涵盖众多技术专家分享的教程、解决方案经验;三是源代码项目,供其他开发者学习参考;四是论坛讨论,反映开发者关注的技术问题热点;五是资源下载,如教程素材、工具软件、开发库等;六是会议活动记录,包括报告、演讲稿视频;七是学习路径课程,帮助开发者提升技能;八是排行榜奖项,体现社区的认可度影响力。 “CSDN-中文IT社区-600万.rar” 压缩包可能是一个极具价值的IT知识宝库,涵盖从基础编程到高级技术实践的广泛主题,反映了中国IT社区的发展动态。对于IT从业者、研究人员以及编程爱好者来说,它是一个极具价值的学习研究资源,能够帮助人们洞察开发者需求、技术趋势社区变化。
如何在docker中离线部署redmine
01-11
### Docker 环境下离线部署 Redmine 方法 #### 准备工作 为了在离线环境中成功安装并运行 Redmine,需提前准备必要的文件环境设置。 - **下载所需镜像**:确保事先在网络连接良好的机器上获取所需的 Docker 镜像,并将其保存为 .tar 文件以便传输到目标主机。对于 Redmine 来说,通常涉及 `redmine` 其依赖数据库(如 MySQL 或 PostgreSQL)的镜像[^1]。 - **转移镜像至目标机**:通过 USB 存储设备或其他物理介质将上述 tar 包转移到无网络连接的目标计算机上。之后利用命令加载这些镜像: ```bash docker load -i path_to_your_image.tar ``` #### 创建数据卷用于持久化存储 创建专门的数据卷来保持应用数据的安全性可移植性是非常重要的一步操作,在此过程中可以执行如下指令建立相应的目录结构作为后续挂载点使用: ```bash mkdir -p /data/docker/redmine/mysql mkdir -p /data/docker/redmine/redmine/files ``` #### 编写 Compose 文件定义服务架构 编写一个名为 `docker-compose.yml` 的 YAML 格式的配置文档描述整个系统的构成关系以及各组件之间的交互方式。这里给出一段简化版的例子供参考: ```yaml version: '3' services: db: image: mysql:5.7 volumes: - ./mysql:/var/lib/mysql environment: MYSQL_ROOT_PASSWORD: example MYSQL_DATABASE: redmine MYSQL_USER: redmine MYSQL_PASSWORD: example web: image: redmine:latest depends_on: - db ports: - "80:3000" volumes: - ./redmine/files:/usr/src/redmine/files environment: REDMINE_DB_MYSQL: db REDMINE_DB_USERNAME: redmine REDMINE_DB_PASSWORD: example REDMINE_DB_NAME: redmine ``` #### 启动服务集群 完成以上准备工作后就可以调用 docker-compose 工具启动所有已定义的服务实例了。由于当前处于断开互联网的状态所以务必确认之前已经正确导入过相关联的镜像资源;另外如果遇到任何权限方面的问题记得赋予足够的访问许可给对应路径下的文件夹及其子项。 ```bash cd /path/to/your/project/folder/ docker-compose up -d ``` #### 安装插件扩展功能 针对特定需求可能还需要额外引入第三方模块增强平台的功能特性。此时应该先拷贝好完整的压缩包形式分发版本放置于指定位置再按照官方说明实施具体步骤。例如要添加 Lightbox2 插件,则可以在本地预先克隆仓库内容随后复制到相应的位置并通过进入容器内部的方式激活它: ```bash cp -r ~/downloads/redmine_lightbox2 /data/docker/redmine/redmine/plugins/ docker exec -it $(docker ps | grep _web_ | awk '{print $1}') \ gosu redmine bundle install && gosu redmine rake redmine:plugins:migrate RAILS_ENV=production ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

孔岱怀

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值