Docker中使用非root用户

最新推荐文章于 2024-05-09 13:31:31 发布
最新推荐文章于 2024-05-09 13:31:31 发布
阅读量1.3k 收藏
点赞数
分类专栏: linux 文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/isangmeng/article/details/109715066
版权

在docker中运行一些程序时,有的程序会限制以root用户运行

1.查看本机的基础镜像

$ docker images
fedora_base 21 886a9840d56d 3 weeks ago 655 MB

记住上面的fedora_base 21,写Dockerfile时会用到。

2.Dockerfile 基本的语法是
使用 # 来注释 
FROM 指令告诉 Docker 使用哪个镜像作为基础:)

接着是维护者的信息:MAINTAINER Docker xxx <xxx@xxx.cn>
 
RUN 开头的指令会在创建中运行
RUN:用于执行后面跟着的命令行命令。有以下俩种格式:
shell 格式:
RUN <命令行命令>

1)<命令行命令> 等同于,在终端操作的 shell 命令。

exec 格式:
RUN ["可执行文件", "参数1", "参数2"]

RUN ["./my_install.sh", "1", "10.0.0.3"] 等价于 RUN ./my_install.sh 1 10.0.0.3

注意:Dockerfile 的指令每执行一次都会在 docker 上新建一层。所以过多无意义的层,会造成镜像膨胀过大。例如:

FROM my_openvpn_base
RUN yum install wget
RUN wget -O openvpn.tar.gz "http://10.0.0.3/openvpn-1.0.0.tar.gz" 
RUN tar -xvf openvpn.tar.gz

以上执行会创建 3 层镜像。可简化为以下格式:

FROM my_openvpn_base
RUN yum install wget \
&&RUN wget -O openvpn.tar.gz "http://10.0.0.3/openvpn-1.0.0.tar.gz" \
&& tar -xvf openvpn.tar.gz

如上,以 && 符号连接命令,这样执行后,只会创建 1 层镜像。
3.编写Dockerfile

$ cat Dockerfile

#This is a comment
FROM fedora_base:21
MAINTAINER Docker xxx <xxx@xxx.cn>

RUN useradd -rm -d /home/tatooine -s /bin/bash -g root -G root -u 1001 tatooine
SHELL ["/bin/bash", "-o", "pipefail", "-c"]
RUN echo 'tatooine:123456' | chpasswd
RUN echo "tatooine ALL=(ALL) ALL" > /etc/sudoers
RUN echo 'root:123456' | chpasswd
RUN echo "root ALL=(ALL) ALL" > /etc/sudoers
USER tatooine
WORKDIR /home/tatooine

注意1:
FROM fedora_base:21是以我本机的fedora_base:21这个镜像作为基础镜像。
useradd选项(请参阅:)man useradd

要设置用户密码,请添加-p "$(tatooine passwd -1 123456)"到useradd命令。

或者,将以下几行添加到您的Dockerfile:

SHELL ["/bin/bash", "-o", "pipefail", "-c"]
RUN echo 'tatooine:123456' | chpasswd

第一个shell指令是确保-o pipefail先启用该选项,然后再RUN添加管道。

对非root用户提升权限
要对非root用户(tatooine)提升权限以便使用yum功能,使用如下语句

RUN echo "tatooine ALL=(ALL) ALL" > /etc/sudoers

注意2:dockerfile中以添加用户和添加密码应该放到USER tatooine之前执行,在USER tatooine之前,是以root用户执行的,USER tatooine之后,没有root权限,无法正确执行。

4.执行

编写完成 Dockerfile 后可以使用 docker build 来生成镜像
将Dockerfile放入一个单独的目录,执行如下语句:

$ sudo docker build -t="fedora/openvpn:v1" .

其中 -t 标记来添加 tag,指定新的镜像的用户信息。“.” 是 Dockerfile 所在的路径(当前目录),也可以替换为一个具体的 Dockerfile 的路径。

注意:一个镜像不能超过127层.这里Dockerfile没有使用&& 符号连接命令,所以创建一个多层的docker镜像

5.保存镜像为文件

如果要将镜像保存为本地文件,可以使用Docker save命令。命令格式:
docker save -o 要保存的文件名 要保存的镜像

$ docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
fedora/openvpn v1 10c9cc1f1491 38 minutes ago 655 MB
fedora_base 21 886a9840d56d 3 weeks ago 655 MB

$ docker save -o fedora_openvpn.tar fedora/openvpn:v1

6.从文件载入镜像

从文件载入镜像可以使用Docker load命令。
命令格式:
docker load --input 文件
或者
docker load < 文件名
此时会导入镜像以及相关的元数据信息等

$ docker load --input fedora_openvpn.tar

 

 

 

tatooine_robot
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker容器使用root用户执行脚本操作
01-20
应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用root的业务用户来运行应用呢, 下面我将举一个简单的...
homeassistant-docker-venv:使用官方Docker映像以root用户身份运行Home Assistant
05-14
使用官方Docker镜像以root用户身份运行Home Assistant! 即使是在使用docker时,也有很多原因使人们想要以不同于root用户身份来运行 :在使用映射的卷进行配置时,您可能想在docker容器之外访问和编辑它-运行...
Docker安全策略--root用户运行
hnmpf的博客
09-27 1万+
该学习笔记仅为有需要的学友学习使用,参考了 https://www.linuxidc.com/Linux/2016-11/137549.htm https://blog.csdn.net/kongxx/article/details/52413332, 再次表示感谢! 拙见: 1、docker 自身已具备一定的安全测试,可以说是比较安全的,但由于docker本身共享了宿主机的资源,这会...
设置Docker作为root用户
weixin_30776273的博客
11-19 305
安装Docker之后,默认使用docker的授权用户root,当我们使用root用户执行docker的指令后,都需要使用在命令前加上sudo 如:sudo docker image ls 如果要省去sudo,使docker 对其他用户可用,可以按照官方文档的以下操作 1.创建用户docker sudo groupadd docker 2.添加当前用户docker用户...
Docker 怎么将映射出的路径设置为root用户权限
最新发布
qq_40021015的博客
05-09 657
使用宿主机的文件系统时,Docker容器内的root用户可能与宿主机的root用户权限不同。此外,UID和GID映射可能需要Docker守护进程的配置,这可以通过dockerd命令的–userns-remap选项来设置。确保这两个ID在宿主机上是有效的,并且对应于你想要运行容器的用户和组。在运行容器时,你可以使用-u或–user参数来指定用户ID(UID)和/或组ID(GID)。这里,1000:1000分别是用户ID和组ID,应该与容器内想要使用用户和组相匹配。这将在构建镜像时设置目录的权限。
Docker自学纪实(五) 使用Dockerfile构建php网站环境镜像
weixin_30555515的博客
12-03 271
一般呢,docker构建镜像容器的方式有两种:一种是pull dockerhub仓库里面的镜像,一种是使用Dockerfile自定义构建镜像。 很多时候,公司要求的镜像并不一定符合dockerhub仓库里面的镜像,这时候我们就要自己构建镜像了,通过编辑dockerfile文件,来实现我们对镜像的要求。 无论是服务器更换或者是增加新的网站节点,只要把这个镜像放进私有仓库,新的服务器拉取到自己本地...
root运行docker容器
ggaofengg的专栏
01-28 1048
1、自己的容器,可以在dockerfile处理一下2、第三方镜像,
一份超实用的 Docker 容器 root 启动实战教程
easylife206的专栏
11-15 1099
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !本文总结了业务容器的 root 启动改造实战经验,强调了 root 启动的重要性和一些基础知识。文章提供了一些建议,如设置容器内进程的最小权限,使用 USER 指令或者启动脚本来切换用户,以及处理机器码获取等技巧。还包括不同容器镜像的修改和构建过程,以满足 root 启动要求,特别提到了 CoreDNS 和 C...
Ubuntu root用户使用Docker命令提示:connect: permission denied
01-08
打开终端直接输入 docker 命令时出现以下错误: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker....将root用户加入dockerusermod -aG docker yourUser
docker-teamspeak-bechof:具有Teampeak的Docker映像以root用户身份运行
05-24
Docker主机上的准备工作对于此容器,需要一个空的skel模板,并且用户和组团队必须使用uid和gid 555讲话。 创建空skel mkdir /etc/skel_empty创建用户 groupadd -r -g 555 teamspeak && useradd -u 555 -r -g ...
如何隔离docker容器用户的方法
09-30
更新 `/etc/subuid` 和 `/etc/subgid` 文件后,在 Docker 的配置文件 `/etc/docker/daemon.json` 添加 `"userns-remap": "dockeruser"`,这样 Docker使用这个用户进行用户隔离。 2. 使用默认设置:若希望 ...
[Dockerfile] 使用root账号
grllery的博客
04-18 957
How to add users to Docker container?
dockerfile 编写php,Dockerfile构建PHP镜像的方法
weixin_40008135的博客
04-01 1289
Dockerfile构建PHP镜像的方法发布时间:2020-11-13 12:27:32来源:亿速云阅读:97作者:小新小编给大家分享一下Dockerfile构建PHP镜像的方法,相信大部分人都还不怎么了解,因此分享这篇文章给大家参考一下,希望大家阅读完这篇文章后大有收获,下面让我们一起去了解一下吧!1 搭建私有镜像仓库1) 拉起镜像仓库docker run -d \-v /opt/registr...
Docker 从入门到放弃(三)镜像使用
Tinywan
12-05 898
&#13; 当运行容器时,使用的镜像如果在本地不存在,docker 就会自动从 docker 镜像仓库下载,默认是从 Docker Hub 公共镜像源下载。 下面我们来学习: 1、管理和使用本地 Docker 主机镜像 2、创建镜像 一、列出镜像列表 可以使用 docker images 来列出本地主机上的镜像。 root@iZ235mi4a64Z:~# docke...
docker容器的使用
运动的肉肉子的博客
04-21 453
1.首先明白两个个概念:容器docker,镜像image。 镜像我们可能已经熟悉,制作系统盘时,我们都会把系统制作成一个镜像,然后再放到U盘制作成系统启动的U盘,这里我们则是把自己写好的代码制作成一个镜像,然后通过几步操作将这个镜像放在指定的容器运行,在这个容器,相关的配置都是为了该镜像能够运行,并且这些配置都是独立于我们的计算机的环境。 2. Docker hub一个存放了诸多开源的镜...
Docker生产实践(六)
AlbenXie的博客
07-10 774
镜像构建思路思路:分层设计最底层:系统层,构建自己适用的不同操作系统镜像;间层:根据运行环境,如php、java、python等,构建业务基础运行环境层镜像;最上层:根据具体的业务模块,构建应用服务层镜像。目录构建树结构案例1:centos 7系统镜像构建12345cd /rootmkdir -p /root/docker/system/centoscd /root/docker/system/...
docker命令总结
无求道贾的博客
03-20 1691
docker命名总结,基础,镜像,容器,构建镜像命令。
root用户使用docker
david ding的专栏
07-30 2430
近来工作涉及到docker,把近来使用docker过程遇到的问题记录一下吧。 本文转自:http://blog.csdn.net/kongxx/article/details/52413332 通常我们使用Docker的时候都是使用root,官方说法如下: The docker daemon binds to a Unix socket instead of a TCP port
Dockerroot用户加入docker用户组省去sudo (三)
热门推荐
2024 做自己的太阳
11-02 5万+
你问我爱你有多深,这坑后面还有坑…… 为什么需要创建docker用户组? Docker守候进程绑定的是一个unix socket,而不是TCP端口。这个套接字默认的属主是root,其他是用户可以使用sudo命令来访问这个套接字文件。因为这个原因,docker服务进程都是以root帐号的身份运行的。 为了避免每次运行docker命令的时候都需要输入sudo,可以创建一个docker用户组,并
docker 使用root用户进入容器
07-08
Docker ,可以使用以下命令以 root 用户身份进入容器: ```bash docker exec -u root -it container_name bash ``` 其,`-u root` 参数指定以 root 用户身份进入容器,`-it` 参数表示使用交互式终端,并分配一个伪终端(pseudo-TTY)。 `container_name` 是要进入的容器名称或容器 ID。 执行上面的命令后,就可以在容器内使用 root 用户身份执行命令了。例如,可以使用以下命令以 root 用户身份安装软件包: ```bash apt-get update apt-get install package_name ``` 注意,使用 root 用户身份进入容器具有一定的安全风险,因为 root 用户可以执行任何命令并修改容器的任何文件。因此,建议在必要时才使用该方法,并在使用完毕后尽快退出容器。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值