将 Docker 映像中的用户切换到非 root 用户

我尝试将用户切换到 tomcat7用户，以设置 SSH 证书。

当我做 su tomcat7的时候，什么都没有发生。

在执行 su tomcat7之后，whoami仍然返回 root

在执行 more /etc/passwd时，我得到以下结果，清楚地显示 tomcat7用户的存在:

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
messagebus:x:101:104::/var/run/dbus:/bin/false
colord:x:102:105:colord colour management daemon,,,:/var/lib/colord:/bin/false
saned:x:103:106::/home/saned:/bin/false
tomcat7:x:104:107::/usr/share/tomcat7:/bin/false

我试图解决的是 Hudson 的这个错误:

Command "git fetch -t git@________.co.za:_______/_____________.git +refs/heads/*:refs/remotes/origin/*" returned status code 128: Host key verification failed.

这是我的 Dockerfile，它使用了一个已有的 hudson war 文件和配置，这个文件是 tarred 的，并且构建了一个映像，hudson 运行得很好，只是不能访问 git，因为用户 tomcat7不存在证书。

FROM debian:wheezy


# install java on image
RUN apt-get update
RUN apt-get install -y openjdk-7-jdk tomcat7


# install hudson on image
RUN rm -rf /var/lib/tomcat7/webapps/*
ADD ./ROOT.tar.gz /var/lib/tomcat7/webapps/


# copy hudson config over to image
RUN mkdir /usr/share/tomcat7/.hudson
ADD ./dothudson.tar.gz /usr/share/tomcat7/
RUN chown -R tomcat7:tomcat7 /usr/share/tomcat7/


# add ssh certificates
RUN mkdir /root/.ssh
ADD ssh.tar.gz /root/


# install some dependencies
RUN apt-get update
RUN apt-get install --y maven
RUN apt-get install --y git
RUN apt-get install --y subversion


# background script
ADD run.sh /root/run.sh
RUN chmod +x /root/run.sh


# expose port 8080
EXPOSE 8080




CMD ["/root/run.sh"]

我正在使用 Docker 的最新版本(Docker 版本1.0.0，build 63fe64c/1.0.0) ，这是 Docker 中的 bug 还是我在 Docker 文件中遗漏了什么？

199665

小开

最佳答案

您不应该在文件夹中使用 su，但是您应该在 Dockerfile 中使用 USER指令。

在文件夹构建的每个阶段，都会创建一个新的容器，因此您对用户所做的任何更改都不会在下一个构建阶段持久化。

例如:

RUN whoami
RUN su test
RUN whoami

这将永远不会说用户将是 test，因为一个新的容器是在第二个 whoami 中产生的。输出将在两者上都是 root 用户(当然，除非事先运行 USER)。

如果你这样做:

RUN whoami
USER test
RUN whoami

你应该看到 root然后 test。

或者，您可以使用 sudo 以不同的用户身份运行命令，如下所示

sudo -u test whoami

但使用官方支持的指令似乎更好。

小开

没有什么真正的方法可以做到这一点。因此，像 mysqld _ safe 这样的东西会失败，而且如果不跳过40个环，就无法在 Debian docker 容器中安装 mysql-server，因为。.如果不是根就会中止。

您可以使用 USER，但是如果您不是 root 用户，就不能使用 apt-get install。

小开

作为另一个解决方案的不同方法，您不必在 Dockerfile 上创建映像时指示用户，而是可以通过特定容器上的命令行按命令进行指示。

对于 docker exec，使用 --user来指定交互式终端将使用哪个用户帐户(容器应该正在运行，并且用户必须存在于容器化系统中) :

docker exec -it --user [username] [container] bash

参见 https://docs.docker.com/engine/reference/commandline/exec/

小开

你亦应具备以下条件:

apt install sudo

sudo -i -u tomcat

那么您应该是 tomcat 用户。目前还不清楚您使用的是哪个 Linux 发行版，但是这可以与 Ubuntu 18.04 LTS 一起工作，例如。

小开

将此行添加到 docker 文件

USER <your_user_name>

使用码头指令用户

小开

如果您需要执行特权任务，如更改文件夹的权限，您可以作为 root 用户执行这些任务，然后创建一个非特权用户并切换到它。

FROM <some-base-image:tag>


# Switch to root user
USER root # <--- Usually you won't be needed it - Depends on base image


# Run privileged command
RUN apt install <packages>
RUN apt <privileged command>


# Set user and group
ARG user=appuser
ARG group=appuser
ARG uid=1000
ARG gid=1000
RUN groupadd -g ${gid} ${group}
RUN useradd -u ${uid} -g ${group} -s /bin/sh -m ${user} # <--- the '-m' create a user home directory


# Switch to user
USER ${uid}:${gid}


# Run non-privileged command
RUN apt <non-privileged command>