Dockerfile之gosu浅析

最新推荐文章于 2024-05-11 09:45:52 发布
最新推荐文章于 2024-05-11 09:45:52 发布
阅读量3.3k 收藏 4
点赞数
分类专栏: Docker 文章标签: linux kubernetes 运维 k8s centos
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_41586875/article/details/124406688
版权

权限分析

  • Docker容器运行的时候,如果没有专门指定user, 默认以root用户运行。我们镜像里没有指定user,容器里的执行用户的id是0,输出文件的权限也是0
# 以ROOT用户执行docker查看权限情况如下,发现容器里面文件宿主都是ROOT用户
[root@boy dockerfile]# docker run -it --rm centos:7 /bin/bash -c "echo 1 > /root/text && ls -al /root"
total 28
dr-xr-x---. 1 root root   18 Apr 25 05:44 .
drwxr-xr-x  1 root root   18 Apr 25 05:44 ..
-rw-r--r--. 1 root root   18 Dec 29  2013 .bash_logout
-rw-r--r--. 1 root root  176 Dec 29  2013 .bash_profile
-rw-r--r--. 1 root root  176 Dec 29  2013 .bashrc
-rw-r--r--. 1 root root  100 Dec 29  2013 .cshrc
-rw-r--r--. 1 root root  129 Dec 29  2013 .tcshrc
-rw-------. 1 root root 3416 Nov 13  2020 anaconda-ks.cfg
-rw-r--r--  1 root root    2 Apr 25 05:44 text

# 以ROOT用户来执行进程,可见也是ROOT身份
[root@boy dockerfile]# docker run -it --rm centos:7 /bin/bash -c "ps -aux"
USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root          1  0.0  0.0  51728  1544 pts/0    Rs+  06:27   0:00 ps -aux

gosu

  • Docker容器中运行的进程,如果以root身份运行话会有安全隐患,该进程拥有容器内的全部权限,更可怕的是如果有数据卷映射到宿主机,那么通过该容器就能操作宿主机的文件夹了,一旦该容器的进程有漏洞被外部利用后果是很严重的,因此,容器内使用非root账号运行进程才是安全的方式,这也是我们在制作镜像时要注意的地方
  • susudo具有非常奇怪且经常令人讨厌的TTY和信号转发行为的问题。susudo的设置和使用也有些复杂(特别是在sudo的情况下),虽然它们有很大的表达力,但是如果您所需要的只是“以特定用户身份运行特定应用程序”,那么它们将不再那么适合
  • 处理完用户/组后,我们将切换到指定用户,然后执行指定的进程,gosu本身不再驻留或完全不在进程生命周期中。这避免了信号传递和TTY的所有问题
  • 不要在容器中使用sudo命令,因为sudo的执行机制问题,如下所示,我们在启动容器时执行了sudo ps -ef命令,发现我们命名只执行了一条命令,但是竟然会有2个进程,请注意PID,真正执行ps -ef的命令的PID是7,而不是1,这回导致当前进程无法接受Unix的SIGNAL
[root@jiayu ~]# docker run -it --rm ubuntu su -c 'exec ps -aux'
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   4484  1612 pts/0    Ss+  14:31   0:00 su -c exec ps -
root         7  0.0  0.0   5888  1412 pts/0    R+   14:31   0:00 ps -aux

# 下面二个实例,不一定带sudo命令
[root@jiayu ~]# docker run -it --rm ubuntu:trusty sudo ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  3.0  0.0  46020  3144 ?        Ss+  02:22   0:00 sudo ps aux
root         7  0.0  0.0  15576  2172 ?        R+   02:22   0:00 ps aux

#  可见使用gosu后,切换身份后,且只有一个进程
[root@jiayu ~]# docker run -it --rm -v $PWD/gosu-amd64:/usr/local/bin/gosu:ro ubuntu:trusty gosu root ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   7140   768 ?        Rs+  02:22   0:00 ps aux

# 查看dockerfile
# add our user and group first to make sure their IDs get assigned consistently, regardless of whatever dependencies get added
RUN groupadd -r redis && useradd -r -g redis redis
...............................................
RUN mkdir /data && chown redis:redis /data
VOLUME /data
WORKDIR /data
COPY docker-entrypoint.sh /usr/local/bin/
ENTRYPOINT ["docker-entrypoint.sh"]
EXPOSE 6379
CMD ["redis-server"]

# 查看entrypoint.sh
#!/bin/sh
set -e

# first arg is `-f` or `--some-option`
# or first arg is `something.conf`
if [ "${1#-}" != "$1" ] || [ "${1%.conf}" != "$1" ]; then
	set -- redis-server "$@"
fi

# allow the container to be started with `--user`
if [ "$1" = 'redis-server' -a "$(id -u)" = '0' ]; then
	find . \! -user redis -exec chown redis '{}' +
	exec gosu redis "$0" "$@"
fi

exec "$@"

注意上面的代码,我们来分析一下:

  1. 假设启动容器的命令是docker run -it redis redis-server /etc/redis.conf
  2. 容器启动后会执行docker-entrypoint.sh脚本,此时的账号是root,此时对于容器来说接收到命令为:docker-entrypoint.sh redis-server /etc/redis.conf
  3. exec gosu redis $0 $@
# 这条命令当于以redis身份执行如下命令
	docker-entrypoint.sh redis-server /etc/redis.conf
	
# exec
	替换当前的shell,且不会生成新的进程保证了gosu redis “$0"@"对应的进程ID为1
	此时运行命令为:docker-entrypoint.sh redis-server /etc/redis.conf
  1. 当切换成redis用户后会执行如下命令
# exec $@
	redis-server /etc/redis.conf

gosu实例

[root@boy dockerfile]# cat dockerfile 
FROM debian:sid-slim
RUN groupadd -r test && useradd -r -g test test
COPY docker-entrypoint.sh /usr/bin/
RUN apt-get update && apt-get install -y --no-install-recommends procps gosu && rm -rf /var/lib/apt/lists/*

ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["ps -aux && sleep 36000"]

[root@boy dockerfile]# cat docker-entrypoint.sh 
#!/bin/bash
if [ "$(id -u)" == "0" ]; then
	exec gosu test "$0" "$@"
fi

exec $@

# 构建镜像
[root@boy dockerfile]# docker build -t gosu:1.0 .

# 启动容器,可以发现目前容器内的进程都是以test身份运行了,且只有一个进程,不存在sudo,su导致生成二个进程
[root@boy dockerfile]# docker run -it --rm gosu:1.0 ps -aux
USER        PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
test          1  4.0  0.0   6960  1572 pts/0    Rs+  07:34   0:00 ps -aux

总结

  • gosu启动命令时只有一个进程,所以docker容器启动时使用gosu,那么该进程可以做到PID等于1
  • sudo启动命令时先创建sudo进程,然后该进程作为父进程去创建子进程,1号PID被sudo进程占据

综上所述,在docker的entrypoint中有如下建议:

  • 创建group和普通账号,不要使用root账号启动进程
  • 如果普通账号权限不够用,建议使用gosu来提升权限,而不是sudo
  • entrypoint.sh脚本在执行的时候也是个进程,启动业务进程的时候,在命令前面加上exec,这样新的进程就会取代entrypoint.sh的进程,得到1号PID
旺仔_牛奶
关注
  • 0
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Centosgosu安装
Leonardy的博客
03-10 2506
gosu是什么? gosu是个用来提升指定账号的权限的工具,作用与sudo命令类似,而docker中使用gosu的起源来自安全问题; 就连docker的官方也在说,不要在容器中使用sudo命令,因为sudo的执行机制问题,如下所示,我们在启动容器时执行了sudo ps -ef命令,发现我们命名只执行了一条命令,但是竟然会有2个进程,请注意PID,真正执行ps -ef的命令的PID是6,而不知1,...
docker与gosu,2024年最新阿里架构师经验分享
2401_84264408的博客
04-17 817
@前面有个exec,会用redis-server命令启动的进程取代当前的docker-entrypoint.sh进程,所以,最终redis进程的PID等于1,而docker-entrypoint.sh这个脚本的进程已经被替代,因此就结束掉了;尽管我们只想启动ps进程,但是容器内出现了两个进程,sudo命令会创建第一个进程,然后该进程再创建了ps进程,而且ps进程的PID并不等于1,这是达不到我们要求的,此时在宿主机向该容器发送信号量,收到信号量的是sudo进程。
gosudockerfile user指令有何区别?
学亮编程手记
08-13 201
总体而言,Gosu和USER指令的作用相似,都用于在容器中切换用户身份。Gosu更侧重于以非特权用户身份运行应用程序,而USER指令更侧重于在Dockerfile中设置容器内部进程的运行用户。选择使用哪种方式取决于具体的需求和安全策略。Gosu和USER指令都是用于在Docker容器中切换用户身份的工具,但它们之间存在一些区别。
docker与gosu
热门推荐
程序员欣宸的博客
06-23 1万+
gosu命令在docker的entrypoint.sh中经常用到,本文详细分析了gosu的作用和用法。
推荐开源工具:gosu——简单高效的用户切换命令
最新发布
gitblog_00043的博客
05-11 366
推荐开源工具:gosu——简单高效的用户切换命令 项目地址:https://gitcode.com/tianon/gosuLinux环境中,我们经常需要以不同的用户权限运行程序,例如从root降级到普通用户。然而,传统的su和sudo命令在TTY和信号转发方面存在一些复杂且易出问题的行为。这就是gosu诞生的原因,一个为了解决这些痛点而设计的轻量级工具。 项目介绍 gosu是一个简单的工具,它...
Gosu语言入门
Root
12-14 1680
Gosu语言入门Gosu语言介绍安装开发工具Hello Gosu! Gosu语言介绍 Gosu是基于Java虚拟机(JVM)的通用编程语言,面向对象,静态类型,命令式,百分之百兼容Java(use/extend Java类型,实现Java接口,编译到Java bytecode)。它的特点包括类型推导,代码易读,内部函数能作为对象传递等。更多参考 安装开发工具 没有良好的编辑器支持,谁都不喜欢编写代...
docker idea 权限不够_docker与gosu
weixin_39919948的博客
12-21 213
容器中不要使用root账号gosu是个工具,用来提升指定账号的权限,作用与sudo命令类似,而docker中使用gosu的起源来自安全问题;docker容器中运行的进程,如果以root身份运行的会有安全隐患,该进程拥有容器内的全部权限,更可怕的是如果有数据卷映射到宿主机,那么通过该容器就能操作宿主机的文件夹了,一旦该容器的进程有漏洞被外部利用后果是很严重的。因此,容器内使用非root账号...
gosu-lang:Gosu编程语言
05-06
Gosu语言Gosu是JVM的一种实用编程语言。 它是通过为Java开发人员设计的,它提供了一组功能,使他们在不牺牲Java简单语法和类型安全性的好处的情况下提高工作效率。 Gosu是一种面向对象的语言,具有许多功能编程功能...
Gosu
03-28
Gosu Graph QL应用 一个从GitHub User数据库中检索100个用户并显示有关他们的基本信息的应用程序 并且不使用Vue CLI。 建筑学 ├─ public // static assets. ├─ service // commands and webpack configurations....
tutoriais-gosu:LibGosu 教程
06-04
Gosu 教程 使用 LibGosu 库(或只是“Gosu”)的教程: :了解如何使用 Ruby 和 Gosu 库创建游戏 :了解 Gosu 如何更新和渲染游戏,默认为每秒 60 帧。 :Z 轴位置、使用瓷砖贴图、正方形角的顺序和颜色的使用。
valen_gosuvalen_gosu
05-27
valen_gosuvalen_gosuvalen_gosuvalen_gosu
gosu:简单的基于Go的setuid + setgid + setgroups + exec
04-12
su 这是一个简单的工具,它su以下简单事实: su和sudo具有非常奇怪的TTY和信号转发行为,并且通常很烦人。 它们的设置和使用也有些复杂(特别是在sudo的情况下),这允许很大的表达力,但是如果您所需要做的只是“以该特定用户身份运行此特定应用程序并摆脱困境,管道”。 怎样的核心gosu作品直接从如何泊坞窗/ libcontainer本身就是一个容器内启动应用程序窃取(事实上,使用/etc/passwd处理直接从libcontainer的codebase代码)。 $ gosu Usage: ./gosu user-spec command [args] eg: ./gosu tianon bash ./gosu nobody:root bash -c 'whoami && id' ./gosu 1000:1 id ./gosu version:
flutter_gosu
03-31
flutter_gosu
gosu_宣布Gosu编程语言
07-03 855
Gosu刚刚被宣布为Java虚拟机的一种新的面向对象,静态类型的编程语言,已通过Apache License v2.0许可。 Gosu团队不可避免地遇到了“为什么我们需要另一种编程语言?”的反应。 而艾伦·基夫(Alan Keefer)现在已着手在“ 为什么选择Gosu ? 发布。 首先,该团队之所以创建Gosu,是因为他们需要一种具有一定特征的语言来配置其应用程序,而在Gosu旅程的初期,并...
docker与gosu-阿里云开发者社区
热爱科学、文人、计算机
12-03 433
docker与gosu-阿里云开发者社区
CentOS7.x 下安装 gosu 程序
丘处机的专栏
01-28 1056
gosu,docker,sudo
docker中的gosu和su-exec工具
zyy247796143的博客
01-03 1867
Dockerfile中做出的权限配置,对非volume来说是可以生效的,而对volume则不然。一般的临时方案,都是去手动修改权限。常见的现象是,container对该路径并无写权限,以致其中服务的各种千奇百怪的问题。当指定了 ENTRYPOINT 后,CMD 的含义就发生了改变,不再是直接的运行其命令,而是将 CMD 的内容作为参数传给 ENTRYPOINT 指令。在容器运行的时候通过ENTRYPOINT来做一些操作,比如把volume挂载的目录权限给改正确,然后再切换普通用户运行正常的程序进程。
[k8s]gosu使用
毛台
05-18 4084
1,gosu下载地址 https://github.com/tianon/gosu/releases/download/1.10/gosu-amd64 背景: 如果以 root 执行的脚本,在执行期间希望改变身份,比如希望以某个已经建立好的用户来运行某个服务进程,不要使用 su 或者 sudo,这些都需要比较麻烦的配置,而且在 TTY 缺失的环境下经常出错。建议使用 gosu,可以从其项
sudo or gosu
weixin_34163741的博客
03-02 418
太长不看:如果需要在Dockerfile的ENTRYPONNT中指定运行命令的用户,用gosu代替sudo可以避免某些信号处理上的边界条件。不过这些边界条件比较罕见,就算不用也没多大关系 docker官方文档的Dockerfile部分,有一节讲的是ENTRYPOINT。在这一节中,提到了如果在启动脚本中需要指定运行命令的用户,建议用gos...
帮我用mruby写一个椭圆程序
05-18
好的,下面是一个简单的椭圆绘制程序,使用了mruby的gosu库: ```ruby require 'gosu' class Ellipse < Gosu::Window def initialize super(800, 600) self.caption = "Ellipse" end def draw_ellipse(x, y, a, b) scale = a / b.to_f num_segments = 50 theta = 2 * Math::PI / num_segments c = Math.cos(theta) s = Math.sin(theta) x1 = a y1 = 0 for i in 0..num_segments do draw_line(x + x1, y + y1, Gosu::Color::WHITE, x - x1, y - y1, Gosu::Color::WHITE) x2 = x1 x1 = c * x1 - s * y1 y1 = s * x2 + c * y1 end end def draw draw_ellipse(400, 300, 200, 100) end end Ellipse.new.show ``` 这个程序使用了 `draw_line` 方法来绘制椭圆的边缘。它接受四个参数:起始点的 x 和 y 坐标,终止点的 x 和 y 坐标,并且使用 Gosu::Color::WHITE 来指定颜色。程序中还有一个 `draw_ellipse` 方法,它使用数学公式来计算椭圆上的点,并使用 `draw_line` 方法来绘制这些点之间的线段。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

旺仔_牛奶

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值