docker基础:使用非root用户操作docker

最新推荐文章于 2023-09-20 17:18:35 发布
最新推荐文章于 2023-09-20 17:18:35 发布
阅读量1w 收藏 5
点赞数 2
分类专栏: # 深入浅出Docker 文章标签: docker 非root用户 普通用户 管理 安装
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/liumiaocn/article/details/88651955
版权

这篇文章用于介绍使用非root用户操作docker。

场景

根据企业的安全策略,有一些情况下无法获取root用户的直接使用方式,通过docker或者sudo的方式使用docker变成了这种情况下的选择之一。

参考内容

根据参考文章中的docker的官方内容,有如下信息说明。

Manage Docker as a non-root user
The Docker daemon binds to a Unix socket instead of a TCP port. By default that Unix socket is owned by the user root and other users can only access it using sudo. The Docker daemon always runs as the root user.

If you don’t want to preface the docker command with sudo, create a Unix group called docker and add users to it. When the Docker daemon starts, it creates a Unix socket accessible by members of the docker group.

从上述信息可以清楚地看到,关于如何使用非root用户对docker进行管理,由于Docker的守护进程会绑定Unix Socket而不是使用TCP端口方式,而缺省情况下Unix socket为root用户所有,其他用户只能通过sudo来进行访问,所以Docker的守护进程只能以root用户进行启动。
如果不希望在docker命令前面添加sudo进行执行,这时可以创建一个名为docker的Unix Group并向这个Group中添加用户,当Docker守护进程启动的时候,守护进程会创建一个Unix Socket文件,而docker这个group的成员对于该文件具有访问权限。

场景1:使用sudo方式操作docker

以用户appman为示例,来说明一下如何使用sudo方式操作docker。

  • 事前确认信息如下:不存在/var/lib/docker目录和appman用户
[root@host118 ~]# ls -ld /var/lib/docker
ls: cannot access /var/lib/docker: No such file or directory
[root@host118 ~]# id appman
id: appman: no such user
[root@host118 ~]#

Step 1: 创建appman用户和group

如下创建该appman用户和group并初始化用户密码

[root@host118 ~]# useradd appman
[root@host118 ~]# id appman
uid=1003(appman) gid=1003(appman) groups=1003(appman)
[root@host118 ~]# passwd appman
Changing password for user appman.
New password: 
BAD PASSWORD: The password is shorter than 7 characters
Retype new password: 
passwd: all authentication tokens updated successfully.
[root@host118 ~]#

Step 2: 添加appman的sudo用户权限

修改/etcsudoers文件,添加如下信息

appman  ALL=(ALL)       ALL

Step 3: 使用sudo命令操作docker

切换到sudo用户appman,通过添加sudo前缀操作docker

[appman@host118 ~]$ id
uid=1003(appman) gid=1003(appman) groups=1003(appman) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[appman@host118 ~]$
  • 启动docker
[appman@host118 ~]$ sudo systemctl restart docker
[sudo] password for appman: 
[appman@host118 ~]$
  • 确认启动状态
[appman@host118 ~]$ sudo docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[appman@host118 ~]$ sudo docker version
Client:
 Version:      1.13.1
 API version:  1.26
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64

Server:
 Version:      1.13.1
 API version:  1.26 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64
 Experimental: false
[appman@host118 ~]$

而如果不加sudo,则会提示错误

[appman@host118 ~]$ docker ps
Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.26/containers/json: dial unix /var/run/docker.sock: connect: permission denied
[appman@host118 ~]$

继续确认文件权限,会发现此种方式和直接使用docker没有区别,因为毕竟sudo就是切换到root用户而已。

[appman@host118 ~]$ ls -l /var/run/docker.sock
srw-rw----. 1 root root 0 Mar 12 08:39 /var/run/docker.sock
[appman@host118 ~]$ ls -l /var/lib/docker
ls: cannot open directory /var/lib/docker: Permission denied
[appman@host118 ~]$ sudo ls -l /var/lib/docker
total 0
drwx------. 2 root root  6 Mar 12 08:39 containers
drwx------. 3 root root 21 Mar 12 08:39 image
drwxr-x---. 3 root root 19 Mar 12 08:39 network
drwx------. 2 root root  6 Mar 12 08:39 overlay
drwx------. 4 root root 32 Mar 12 08:39 plugins
drwx------. 2 root root  6 Mar 12 08:39 swarm
drwx------. 2 root root  6 Mar 12 08:39 tmp
drwx------. 2 root root  6 Mar 12 08:39 trust
drwx------. 2 root root 25 Mar 12 08:39 volumes
[appman@host118 ~]$ sudo ls -ld /var/lib/docker
drwx--x--x. 11 root root 134 Mar 12 08:39 /var/lib/docker
[appman@host118 ~]$

场景2: 使用非root用户管理docker但是不希望直接使用sudo执行操作

事前准备:停止docker,并删除docker的缺省数据目录/var/lib/docker

[root@host118 ~]# systemctl stop docker
[root@host118 ~]# rm -rf /var/lib/docker
[root@host118 ~]#

事前准备:删除appman的sudo权限

[root@host118 ~]# vi /etc/sudoers
[root@host118 ~]# grep appman /etc/sudoers
[root@host118 ~]#

可以看到appman没有了sudo权限

[appman@host118 ~]$ sudo ls
[sudo] password for appman: 
appman is not in the sudoers file.  This incident will be reported.
[appman@host118 ~]$

Step 1: 添加group并设定用户

[appman@host118 ~]$ id
uid=1003(appman) gid=1003(appman) groups=1003(appman) context=unconfined_u:unconfined_r:unconfined_t:s0-s0:c0.c1023
[appman@host118 ~]$ sudo groupadd docker
[appman@host118 ~]$ sudo gpasswd -a ${USER} docker
Adding user appman to group docker
[appman@host118 ~]$ groups
appman
[appman@host118 ~]$ newgrp docker
[appman@host118 ~]$ groups
docker appman
[appman@host118 ~]$

Step2: 启动docker

启动docker,并确认结果

[appman@host118 ~]$ systemctl restart docker
==== AUTHENTICATING FOR org.freedesktop.systemd1.manage-units ===
Authentication is required to manage system services or units.
Authenticating as: root
Password: 
==== AUTHENTICATION COMPLETE ===
[appman@host118 ~]$
  • 进行启动后的docker数据目录确认
[appman@host118 ~]$ ls -l /var/lib/docker
ls: cannot open directory /var/lib/docker: Permission denied
[appman@host118 ~]$ sudo ls -l /var/lib/docker
total 0
drwx------. 2 root root  6 Mar 12 08:52 containers
drwx------. 3 root root 21 Mar 12 08:52 image
drwxr-x---. 3 root root 19 Mar 12 08:52 network
drwx------. 2 root root  6 Mar 12 08:52 overlay
drwx------. 4 root root 32 Mar 12 08:52 plugins
drwx------. 2 root root  6 Mar 12 08:52 swarm
drwx------. 2 root root  6 Mar 12 08:52 tmp
drwx------. 2 root root  6 Mar 12 08:52 trust
drwx------. 2 root root 25 Mar 12 08:52 volumes
[appman@host118 ~]$ sudo ls -ld /var/lib/docker
drwx--x--x. 11 root root 134 Mar 12 08:52 /var/lib/docker
[appman@host118 ~]$

Step 3: 确认其他命令和docker.sock文件

确认docker.sock文件,发现docker在其group设定中,这一点也和官方说明一致。而执行其他命令,也无需再加前缀sudo即可

[appman@host118 ~]$ docker version
Client:
 Version:      1.13.1
 API version:  1.26
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64

Server:
 Version:      1.13.1
 API version:  1.26 (minimum version 1.12)
 Go version:   go1.7.5
 Git commit:   092cba3
 Built:        Wed Feb  8 08:47:51 2017
 OS/Arch:      linux/amd64
 Experimental: false
[appman@host118 ~]$ docker ps
CONTAINER ID        IMAGE               COMMAND             CREATED             STATUS              PORTS               NAMES
[appman@host118 ~]$

参考文章

https://docs.docker.com/install/linux/linux-postinstall/

淼叔
关注
  • 2
    点赞
  • 5
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
docker容器中使用root用户执行脚本操作
01-20
应用容器化之后,在docker容器启动时,默认使用的是root用户执行命令,因此容器中的应用默认都是使用root用户来运行的,存在很高的安全风险,那么如何能够使用root的业务用户来运行应用呢, 下面我将举一个简单的例子来说明。 该例子是在容器中使用自建的用户来运行一个简单的shell脚本,并将脚本输出日志持久到容器外部。接下来让我们来看从制作镜像到容器运行的全过程吧。 1、构建镜像: 我将会使用dockerfile的方式来构建镜像,基础镜像使用ubuntu 14.04(需要先拉取该镜像,docker pullubuntu:14.04)。dockerfile内容如下 [root@host0
【云原生】docker设置root用户使用权限的方法
点赞的都能无bug通过!
03-31 482
docker使用的时候需要sudo权限,但是很多时候我们账号是没有管理员权限的,为了不扩展管理员权限,我们可以把docker设置为root用户操作
Kafka 笔记 (Non-Root/Container)
最新发布
云满笔记
09-20 428
Kafka 笔记 (Non-Root/Container)
Ubuntu root用户使用Docker命令提示:connect: permission denied
01-08
打开终端直接输入 docker 命令时出现以下错误: Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http:///var/run/docker.sock/v1.40/images/json: dial unix /var/run/docker.sock: connect: permission denied 解决办法: 将root用户加入docker组 usermod -aG docker yourUser
docker基础root用户操作并将数据目录进行nfs mount
知行合一 止于至善
03-19 4418
本文记录一下如何使用root用户进行docker操作,并将数据目录从其他机器进行nfs mount。
一文带你认识Kubernetes中的根容器:non-root containers
qq_40404477的博客
04-02 482
根容器指的是不以root权限运行的容器,它可以更严格的限制程序运行权限,保障程序运行安全。
怎么让 Docker 能够在 non-root 权限下运行
shimly123456的博客
06-19 73
参考:https://docs.docker.com/engine/install/linux-postinstall/#manage-docker-as-a-non-root-user。
docker系列】使用root用户安装及启动docker(rootless模式运行)
字母哥博客
05-20 1万+
字母哥只出精品原创,使用root用户安装及启动docker(rootless模式运行)
解决linuxroot用户无法使用Docker命令
qq_35671555的博客
03-04 958
使用Docker时报错: Got permission denied while trying to connect to Docker daemon socket at unix: … connect: permission denied 由于当前用户没有root权限,因此无法使用docker命令 使用如下指令将root用户加入到Docker组,普通用户也能使用docker # 创建Docker组 sudo groupadd docker # 将目标用户添加至Docker组 sudo gpasswd
root用户使用docker
lik_lik的博客
05-18 544
docker命令默认只能root用户使用的,其他root用户执行docker ps等命令,将提示permission denied Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http://%2Fvar%2Frun%2Fdocker.sock/v1.26/containers/json: dial unix /var/run/doc
homeassistant-docker-venv:使用官方Docker映像以root用户身份运行Home Assistant
05-14
使用官方Docker镜像以root用户身份运行Home Assistant! 即使是在使用docker时,也有很多原因使人们想要以不同于root用户身份来运行 :在使用映射的卷进行配置时,您可能想在docker容器之外访问和编辑它-运行...
docker-glpi:使用Docker部署GLPI的项目
05-05
使用CLI部署 部署GLPI docker run --name mysql -e MYSQL_ROOT_PASSWORD=diouxx -e MYSQL_DATABASE=glpidb -e MYSQL_USER=glpi_user -e MYSQL_PASSWORD=glpi -d mysql:5.7.23docker run --name glpi --link mysql:...
docker安装
01-20
返回 -bash: docker: command not found 则没有安装 返回类型以下信息则表示已安装 Docker version 19.03.6, build 369ce74a3c 卸载旧的版本 $ sudo yum remove docker \ docker-client \ docker-client-latest \ ...
root用户离线安装docker
qq_28323595的博客
09-09 3505
root用户离线安装docker1.创建root用户2.设置普通用户密码3.给普通用户添加sudo权限4.切换到root用户,创建docker组5.把当前用户加入到docker组6.切换到root,再进入qwtest7.解压8.将解压出来的docker目录下的指令复制到 /usr/bin/ 目录下9./usr/bin/目录下docker有关指令的所属用户和所属组(必做,不然root用户使用docker指令报错:权限不够)10.查看一下是否改变所属用户和所属组(得到和解压出来的docker目录下的一样
Docker安装配置及使用详解
热门推荐
人生就是一场修行
07-12 11万+
基本概念Docker 包括三个基本概念 镜像(Image) 容器(Container) 仓库(Repository) 先理解了这三个概念,就理解了 Docker 的整个生命周期。1、docker安装与启动yum install -y epel-release yum install docker-io # 安装docker # 配置文件 /etc/sysconfig/dockerchkconfig
Docker容器常见故障
王笋的专栏
11-23 3595
以下是整理的容器类问题故障,分为9个类。
docker x509: failed to load system roots and no roots provided 解决办法
纵横四海的博客
09-30 4065
系统 [root@dev-master-105 ~]# uname -a Linux dev-master-105 3.10.0-514.el7.x86_64 #1 SMP Tue Nov 22 16:42:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux 错误现象 [root@dev-master-105 data]# docker pull harbo...
Linux指令之用户、组
weixin_42382758的博客
04-14 975
8.1 用户及家目录概念 用户家目录:目录下有各自创建的用户,当用户登录时会自动进入自己的家目录。 如 /home/tm 用户tn的家目录 一个linux用户需要至少属于一个组 root文件夹和home文件夹属于等级,root用户登录在/root普通用户如tm 登录自动进入/home/tm 在linux 中每个文件有所有者、所在组、其他组的概念 查看文件/目录 所有者 一般谁创建了文件,谁就是文件的所有者 查看文件的所有者 ls -ahl 修改文件所有者 chmod 用户名 文件名 8.2
Root用户启动docker容器
06-10
可以通过在Root用户的账户中添加到docker用户组来启动docker容器。具体步骤如下: 1. 添加docker用户组 ``` sudo groupadd docker ``` 2. 将当前用户添加到docker用户组 ``` sudo gpasswd -a ${USER} docker ``` 3. 重新登录当前用户 4. 验证当前用户是否已经加入docker用户组 ``` docker info ``` 5. 启动docker容器 ``` docker run [OPTIONS] IMAGE [COMMAND] [ARG...] ``` 需要注意的是,Root用户启动容器时,容器内的进程将以该用户的身份运行。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

淼叔

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值