yum install -y 是什么意思_为什么你应该在docker 中使用gosu?

最新推荐文章于 2024-07-30 20:58:50 发布
最新推荐文章于 2024-07-30 20:58:50 发布
阅读量654 收藏
点赞数
文章标签: yum install -y 是什么意思

3aa68777f59a2522503ecb3131f01a17.png

为什么要使用gosu?

Docker容器中运行的进程,如果以root身份运行话会有安全隐患,该进程拥有容器内的全部权限,更可怕的是如果有数据卷映射到宿主机,那么通过该容器就能操作宿主机的文件夹了,一旦该容器的进程有漏洞被外部利用后果是很严重的。

因此,容器内使用非root账号运行进程才是安全的方式,这也是我们在制作镜像时要注意的地方。

而我们今天讲到的gosu 正是解决使用非root用户运行业务进程的一种最佳实践方法。

susudo具有非常奇怪且经常令人讨厌的TTY和信号转发行为的问题。susudo的设置和使用也有些复杂(特别是在sudo的情况下),虽然它们有很大的表达力,但是如果您所需要的只是“以特定用户身份运行特定应用程序”,那么它们将不再那么适合。

处理完用户/组后,我们将切换到指定用户,然后执行指定的进程,gosu本身不再驻留或完全不在进程生命周期中。这避免了信号传递和TTY的所有问题。

概念总是晦涩的,让我们通过一些示例来加深理解。

$ docker run -it --rm ubuntu:trusty su -c 'exec ps aux'
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0  46636  2688 ?        Ss+  02:22   0:00 su -c exec ps a
root         6  0.0  0.0  15576  2220 ?        Rs   02:22   0:00 ps aux
$ docker run -it --rm ubuntu:trusty sudo ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  3.0  0.0  46020  3144 ?        Ss+  02:22   0:00 sudo ps aux
root         7  0.0  0.0  15576  2172 ?        R+   02:22   0:00 ps aux
$ docker run -it --rm -v $PWD/gosu-amd64:/usr/local/bin/gosu:ro ubuntu:trusty gosu root ps aux
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
root         1  0.0  0.0   7140   768 ?        Rs+  02:22   0:00 ps aux

安装gosu

对于debian:

Debian 9 ("Debian Stretch") or newer:

RUN set -eux; 
	apt-get update; 
	apt-get install -y gosu; 
	rm -rf /var/lib/apt/lists/*; 
# verify that the binary works
	gosu nobody true

Older Debian releases (or newer gosu releases):

ENV GOSU_VERSION 1.12
RUN set -eux; 
# save list of currently installed packages for later so we can clean up
	savedAptMark="$(apt-mark showmanual)"; 
	apt-get update; 
	apt-get install -y --no-install-recommends ca-certificates wget; 
	if ! command -v gpg; then 
		apt-get install -y --no-install-recommends gnupg2 dirmngr; 
	elif gpg --version | grep -q '^gpg (GnuPG) 1.'; then 
# "This package provides support for HKPS keyservers." (GnuPG 1.x only)
		apt-get install -y --no-install-recommends gnupg-curl; 
	fi; 
	rm -rf /var/lib/apt/lists/*; 
	
	dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; 
	wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch"; 
	wget -O /usr/local/bin/gosu.asc "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch.asc"; 
	
# verify the signature
	export GNUPGHOME="$(mktemp -d)"; 
	gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; 
	gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; 
	command -v gpgconf && gpgconf --kill all || :; 
	rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; 
	
# clean up fetch dependencies
	apt-mark auto '.*' > /dev/null; 
	[ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; 
	apt-get purge -y --auto-remove -o APT::AutoRemove::RecommendsImportant=false; 
	
	chmod +x /usr/local/bin/gosu; 
# verify that the binary works
	gosu --version; 
	gosu nobody true

对于alpine(3.7+):

ENV GOSU_VERSION 1.12
RUN set -eux; 
	
	apk add --no-cache --virtual .gosu-deps 
		ca-certificates 
		dpkg 
		gnupg 
	; 
	
	dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; 
	wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch"; 
	wget -O /usr/local/bin/gosu.asc "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch.asc"; 
	
# verify the signature
	export GNUPGHOME="$(mktemp -d)"; 
	gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; 
	gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; 
	command -v gpgconf && gpgconf --kill all || :; 
	rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; 
	
# clean up fetch dependencies
	apk del --no-network .gosu-deps; 
	
	chmod +x /usr/local/bin/gosu; 
# verify that the binary works
	gosu --version; 
	gosu nobody true

如何使用gosu?

一般是在entrypoint.sh使用。

例如,Postgres Official Image使用以下脚本作为其ENTRYPOINT:

#!/bin/bash
set -e

if [ "$1" = 'postgres' ]; then
    chown -R postgres "$PGDATA"

    if [ -z "$(ls -A "$PGDATA")" ]; then
        gosu postgres initdb
    fi

    exec gosu postgres "$@"
fi

exec "$@"

关于 exec ,大家可以查阅我之前写的文章,其作用主要是会将gosu postgres 后面命令运行的进程替换entrypoint.sh 进程作为1号进程。并且运行该进程的用户为postgres,而不是root。

拿我们线上的一个容器来举例:

entrypoint.sh为:

#! /bin/bash
set -e
chown -R xxxuser:xxxgroup /data/logs
exec gosu xxxuser  tini -- myprogram -config /etc/config.prod.yaml

exec 到容器执行whoami:

sh-4.2# whoami
root

可以看到整个容器当前的用户是root。

然后查看运行我们tini 和 myprogram进程的用户:

sh-4.2# ps aux             
USER       PID %CPU %MEM    VSZ   RSS TTY      STAT START   TIME COMMAND
xxxuser      1  0.0  0.0   4372   368 ?        Ss   18:17   0:00 tini -- myprogram -config /etc/config.prod.yaml
xxxuser     14  2.6  0.4 1015768 315868 ?      Sl   18:17   1:20 myprogram -config /etc/config.prod.yaml

到了这里可能大家已经非常清楚了。

至于tini,大家可以查阅我之前的文章。

weixin_39999586
关注
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4146
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
制作容器镜像的最佳实践
weixin_41020960的博客
11-24 693
不同的基础镜像构建相同的应用会有不同的大小。构建体积更小的镜像,有利于镜像本身的传输,尤其在 Kubernetes 的环境,镜像的传输会更加频繁,更小的体积意味着更快的调度时间和更小的空间占用。虽然 container 在运行的时候 ,是与系统隔离开的,但是如果你使用 root 运行容器的话,他在系统层面上看,也是 root 账号,权限是比较大的,对于很多需要编译运行的程序,如 Java, C, Golang 等,其编译环境和运行环境是不一样的,为了减小最终镜像的大小,我们可以使用上面提到的合并。
yum 命令讲解
热门推荐
Alan Zhuang的博客
04-10 24万+
(一)yum介绍Yum(全称为 Yellow dogUpdater, Modified)是一个在Fedora和RedHat以及CentOS的Shell前端软件包管理器。基于RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软件包,无须繁琐地一次次下载、安装。yum提供了查找、安装、删除某一个、一组甚至全部软件包的命令,而且命令简洁而又好记。 ...
yum安装依赖及讲解---yum install -y yum-utils device-mapper-persistent-data lvm2
最新发布
u010055960的博客
07-30 726
yum是基于 RPM 的 Linux 发行版(如 CentOS、RHEL 等)的包管理器,用于安装、更新、删除和管理软件包。这个命令:这是yum命令的基本用法,用于安装软件包。-y:这个选项告诉yum在安装过程自动回答所有提示为“是”(yes),即不会在安装过程暂停等待用户输入确认。yum-utils:这是一个软件包的名称,包含了一些额外的yum工具和实用程序,例如插件,它可以自动安装调试信息包。:这也是一个软件包的名称,它提供了设备映射器的持久数据支持,通常用于高级存储管理和 LVM(逻辑卷管理)
yum命令详解,配置本地yum源,编译安装
q1y2y3的博客
04-03 1万+
Yum(全称为 Yellow dogUpdater, Modified)是一个在Fedora和RedHat以及CentOS的Shell前端软件包管理器。基于RPM包管理,能够从指定的服务器自动下载RPM包并且安装,可以自动处理依赖性关系,并且一次安装所有依赖的软件包,无须繁琐地一次次下载、安装。yum提供了查找、安装、删除某一个、一组甚至全部软件包的命令,而且命令简洁而又好记。
linux rpm找不到命令_详解Linux软件安装RPM与YUM 区别和联系
weixin_39632293的博客
11-04 651
点击上方“安全优佳” 可以订阅哦!概述一般Linux软件安装有这么几种方式:通用二进制格式:直接解压压缩文件,就可以使用。但一定要注意安装平台。软件包管理器:如RPM。软件包管理器的前端工具:如YUM。源代码编译。那么其rpm与yum有什么区别呢?RPMRPM管理支持事务机制。增强了程序安装卸载的管理。RPM的功能:打包、安装、查询、升级、卸载、校验、数据库管理。1、RPM的缺点由于L...
Linux 之 yum使用yum 命令使用讲解)
index_ling的博客
05-12 1万+
在这个目录下面有很多文件,都是.repo结尾的,repo文件是yum源(也就是软件仓库)的配置文件,通常一个repo文件定义了一个或者多个软件仓库的细节内容,例如我们将从哪里下载需要安装或者升级的软件包,repo文件的设置内容将被yum读取和应用!yum的一切信息都存储在一个叫yum.reops.d目录下的配置文件,通常位于/etc/yum.reops.d目录下。[extras]这个表示的是名称,--->yum的ID,必须唯一,本地有多个yum源的时候,这里必须是唯一的。不显示安装的过程)等等。
Docker - 制作镜像的两种方式:Dockfile 、 docker save
猫咪控丶的博客
08-31 3069
将容器打包作为镜像后,run后可做为测试环境或者开发环境使用 1.在docker容器环境配置好环境,例如安装:jdk、python3、jenkins等等
Docker-部署若依项目
2302_76705099的博客
03-06 1052
1.构建Dockerfile镜像 1 )切换到家目录 cd ~ #新建文件夹 mkdir ruoyi-admin #切进去 cd ruoyi-admin 2 )上传ruoyi-admin.jar到Dockerfile_ruoyi-admin文件所在目录#重命名 mv Dockerfile_ruoyi-admin Dockerfile 4 )ruoyi-admin为镜像名称,开始制作镜像 docker build -t ruoyi-admin .查看自己做的镜像#运行容器docker ps。
Centos用gosu安装
Leonardy的博客
03-10 2554
gosu是什么? gosu是个用来提升指定账号的权限的工具,作用与sudo命令类似,而docker使用gosu的起源来自安全问题; 就连docker的官方也在说,不要在容器使用sudo命令,因为sudo的执行机制问题,如下所示,我们在启动容器时执行了sudo ps -ef命令,发现我们命名只执行了一条命令,但是竟然会有2个进程,请注意PID,真正执行ps -ef的命令的PID是6,而不知1,...
常用环境部署(五)——Docker部署airflow和Centos安装Python3.5
wd520521的博客
06-05 1334
Docker部署airflow和Centos安装Python3.5
conda install -y 参数
月亮不知道的博客
07-24 9534
官方解释 -y, --yes Do not ask for confirmation. 官网的解释 具体解释 我安装了conda,创建并激活了一个开发环境。当我尝试按如下方式安装一个包时,我注意到有一个提示,用户必须键入Y或N (Proceed ([Y]/ N)?)才能成功安装。 The following NEW packages will be INSTALLED: libgfortran: 1.0-0 numpy: 1.10
【Linux系统】第三篇:Linux软件包管理器yum使用
Clumsy、笨拙的博客
12-02 8347
软件包和软件包管理器, 就好比 “App” 和 “应用商店” 这样的关系yum(Yellow dog Updater, Modified)是Linux下非常常用的一种包管理器.主要应用在Fedora, RedHat, Centos等发行版上.通俗来讲:yum就相当于Linux提供的”应用商店“
yum install -y 是什么意思_五分钟学习Linux系列之 - Yum
weixin_39930711的博客
11-29 1730
今天是每天五分钟学习Linux第7次更新,想要看上周更新的朋友可以进入我们的头条号往前翻看。这里我们不会说太多理论的东西,我们讨论到的知识点都是十几年来我们实际工作要经常用到的,今天的五分钟主题是“yum的各种用法”,这是日常开发及运维过程必须要用到的东西。用过Linux的朋友都应该是知道yum这个应用的,对的,它就是用来安装软件的,很多人可能用过诸如yum update, yum insta...
docker 从入门到精通之 linux 安装即常用命令
qq_39940489的博客
05-22 3493
文章目录1. docker安装的前期准备工作2. 安装docker3. docker 常用命令4. docker 生命周期5. dockerfile 构建自定义镜像6. dockerfile 基本命令 1. docker安装的前期准备工作 1.1 、安装docker 的数据存储驱动包 yum install -y yum-utils device-mapper-persistent-data lvm2 ## 1. 安装docker 的数据存储驱动包。device-mapper-persistent-da
apt install和apt install -y的区别
darkbluejoli的博客
11-10 2850
apt install 和 apt install -y的区别
Linux上如何一键安装软件?yum源是什么?Linux如何配置yum源?
shanshan3003的专栏
01-12 862
Linux上如何一键安装软件?yum源是什么?Linux如何配置yum源?
Linux(安装及管理程序)
Z的博客
06-15 119
RPM 全名 RedHat Package Managerment,是由Red Hat公司提出,被众多Linux发行版本所采用,是一种数据库记录的方式来将所需要的软件安装到到Linux系统的一套软件管理机制。它会建立统一的数据库文件,详细记录软件包安装 、卸载等变化信息,能够自动分析软件包依赖关系它最大的特点就是将你要安装的软件先进行编译,并且打包成为 RPM 的文件,通过打包好的软件里面默认的数据库,记录这个软件要安装的时候必须具备的依赖属性软件。
yum install -y ceph-deploy什么意思
05-30
这是一个 Linux 系统上的命令,它的意思是使用 YUM 软件包管理器安装 Ceph-deploy 工具。Ceph-deploy 是 Ceph 分布式存储系统的一个部署工具,它可以帮助用户快速地部署和管理 Ceph 集群。这个命令会自动安装 ceph-deploy 及其依赖的软件包,并将其添加到系统的 PATH 路径,以便在任何位置都可以使用 ceph-deploy 命令。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值