node.js - 在 Docker 中以非 root 用户身份运行应用程序-6ren

node.js - 在 Docker 中以非 root 用户身份运行应用程序

转载作者：IT老高更新时间：2023-10-28 12:33:48

32

4

在 yesterday's news of Shocker 之后，似乎 Docker 容器内的应用程序不应该以 root 身份运行。我尝试更新我的 Dockerfile 以创建应用程序用户，但是更改应用程序文件的权限(虽然仍然是 root)似乎不起作用。我猜这是因为某些 LXC 权限可能没有授予 root 用户？

这是我的 Dockerfile:

# Node.js app Docker file

FROM dockerfile/nodejs
MAINTAINER Thom Nichols "thom@thomnichols.org"

RUN useradd -ms /bin/bash node

ADD . /data
# This next line doesn't seem to have any effect:
RUN chown -R node /data 

ENV HOME /home/node
USER node

RUN cd /data && npm install

EXPOSE 8888

WORKDIR /data

CMD ["npm", "start"]

非常简单，但是当我 ls -l 时，一切仍然归根用户所有:

[ node@ed7ae33e76e1:/data {docker-nonroot-user} ]$ ls -l /data
total 64K
-rw-r--r--  1 root root  383 Jun 18 20:32 Dockerfile
-rw-r--r--  1 root root  862 Jun 18 16:23 Gruntfile.js
-rw-r--r--  1 root root 1.2K Jun 18 15:48 README.md
drwxr-xr-x  4 root root 4.0K May 30 14:24 assets/
-rw-r--r--  1 root root  416 Jun  3 14:22 bower.json
-rw-r--r--  1 root root  930 May 30 01:50 config.js
drwxr-xr-x  4 root root 4.0K Jun 18 16:08 lib/
drwxr-xr-x 42 root root 4.0K Jun 18 16:04 node_modules/
-rw-r--r--  1 root root 2.0K Jun 18 16:04 package.json
-rw-r--r--  1 root root  118 May 30 18:35 server.js
drwxr-xr-x  3 root root 4.0K May 30 02:17 static/
drwxr-xr-x  3 root root 4.0K Jun 18 20:13 test/
drwxr-xr-x  3 root root 4.0K Jun  3 17:38 views/

My updated dockerfile works great感谢@creak 对音量如何工作的澄清。一旦初始文件被 chown 编辑，npm install 就会以非 root 用户身份运行。并且由于 postinstall 钩子(Hook)，npm 运行 bower install && grunt assets，它负责剩余的安装步骤并避免任何需要 npm install -g 任何 Node cli 工具，如 bower、grunt 或 coffeescript。

最佳答案

查看此帖子:http://www.yegor256.com/2014/08/29/docker-non-root.html在 rultor.com我们在他们自己的 Docker 容器中运行所有构建。每次在容器内运行脚本之前，我们都会切换到非 root 用户。方法如下:

adduser --disabled-password --gecos '' r
adduser r sudo
echo '%sudo ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers
su -m r -c /home/r/script.sh

r 是我们正在使用的用户。

关于node.js - 在 Docker 中以非 root 用户身份运行应用程序，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/24308760/

32

4

0

文章推荐： windows - 在 Windows 10 上的 Docker 中将当前目录挂载为卷

文章推荐： Flutter - 容器上的叠加卡片小部件

文章推荐： docker - 如何知道 docker 是否已经登录到 docker 注册服务器

c++ - 如何遍历几个每小时的 ROOT (.root) 文件并将它们组合成更大的每日数据 .root 文件？
我在我的实验室中通过终端使用 ROOT，我们经常收集数据并且每小时都有一个文件夹，其中包含微小的 .root 文件。我正在尝试创建一个每日 .root 文件，其中包含某一天获取的所有数据，目前我有许
linux - 以非 root 用户身份启动容器与以 root 用户身份启动然后降级为非 root 用户
我正在创建一些 Docker 镜像，并且正在阅读其他人是如何做到这一点的。当涉及到在容器内运行进程的用户时，我已经确定了三种一般模式: 它使用 root 用户处理一切(在 root 下运行的容器内生
MySQL root@localhost、root@127.0.0.1 和 root@::1 有不同的密码 - 这正常吗？
使用此命令设置密码后: mysqladmin.exe --user=root password 我在“根”用户的用户表中看到 3 行: http://i.stack.imgur.com/Y4Rkd.
python - Tkinter:root.after(), root.after_cancel()
我有这个秒表，我试图在计数达到 0 后重置它。但是我在使用“after_cancel”功能时遇到了问题。谁能帮忙？发生的是它无休止地继续，我想杀死“之后”功能。 def countdown(self
PHP file_exists 仅适用于 root :root
if(file_exists( $_SERVER['DOCUMENT_ROOT'] . "/index.html")) echo '文件存在'; 当文件的所有者和组设置为 root:root 时，仅返
mysql - [root@localhost ~]# mysql -u root -p 输入密码 : ERROR 1045 (28000): Access denied for user 'root' @'localhost' (using password: YES)
我尝试在 AWS 和 Google Drive 上的 Redhat 7 上安装 MySQL，但是在安装 mysql-server 5.7 后，我收到了相同的错误。 [root@localhost ~]
.htaccess - htaccess 代理重定向 root 且仅 root
我试图仅将根域(而不是其子文件夹)重定向到另一个 URL，而不更改地址。我正在使用 .htaccess 并使用 [P] 标志进行重定向，这适用于子目录但不适用于根目录。编写以下 .htaccess
python - 从非 root 用户执行 root 所需的脚本
我正在使用 Apache CGI mod 来允许通过 HTTP(S) 请求执行 python 脚本。问题是我想要执行的脚本 backup.py 在某个时刻执行一个子进程调用，其中 mysqldump
linux - 在没有 root 用户的情况下执行 root 命令避免密码提示
我有一个 script.sh 文件执行以下命令: chown -R apache:apache /var/www/html/my/data 如果我尝试使用非 root 用户(用户名 = marco)执
android - 使用 Root 权限运行服务或使用 root 添加权限
我目前正在开发一款可以在开车时读出短信/电子邮件的应用程序。许多用户希望支持 WhatsApp/KakaoTalk。但是，由于没有“官方”方式来接收他们的消息，因此只有三个选项，都需要 root:
android - Rooted Android - 在 root 拥有的目录中创建和读取文件
我已经看到这个问题问了几次，但从未得到完全回答(我能找到)。需要说明的是，我的手机已 root。我需要做的是在 root 拥有的目录下读取和写入文件，例如 /data。我知道我需要使用 super
root - sudoers - Google Compute Engine - 无法访问 root
我有一个 Google Compute Engine VM 实例，上面运行着 Asterisk Server。当我尝试运行 sudo 时收到此消息: sudo: parse error in /etc
Laravel 帆 : login as root or create an root user
我正在使用sail 并尝试以root 身份使用shell，这是不可能的。切换到 root 用户要求输入密码，我不知道。我尝试更改 dockerfile: ARG WWWROOTGROUP RUN
root - 如何使用 root 帐户使用 rvm(ruby 版本管理器)？
rvm 的全部意义在于能够安装多个 ruby 并从用户帐户访问它们。当您需要从 root 访问任何这些 ruby 时，您会怎么做？或者使用安装在其中一个 rvms 中的 gems？有没有一种优雅的(
docker - Openshift Volume Mounts 显示 root :root
我正在尝试在 Openshift 中运行 SonarQube pod，但它似乎正在以 root 作为所有者安装持久卷。我们如何将其更改为非 root 用户？我用“hostPath”创建了我的持久卷
Ansible角色抛出错误@/root/roles :/root:/etc/ansible/roles
我是 Ansible 的新手，我已经创建了我的第一个 Ansible 角色剧本，当我尝试运行它时，它抛出了下面的错误，而角色之外的其他模块(如处理程序、模板)工作正常。我仅通过剧本中的角色观察到这个问
docker - 以 root 和非 root 身份运行 docker
对“以非 root 用户和 root 用户身份运行 docker”感到困惑。第一个问题(以非root用户运行):基于Post-installation steps for Linux ，要以非 ro
architecture - 领域驱动设计 : Aggregate root & Sub Aggregate roots
在我的项目中，我发现需要以分层方式打破我的聚合，使用顶级根级别聚合，以确保根级别的规则一致性，然后我的根下的对象可以分组为各种聚合。在计算根级聚合的完整性时，根验证自己的规则，然后委托(delegat
mysql - 将 MAMP Pro 用户名和密码重置为 root/root
我不知道我是怎么做到的，但在过去几天的某个时候，我设法将我的 MAMP Pro 用户名和密码更改为 root:root 以外的其他名称。我一直在本地开发 Wordpress 版本，所以它一定是我当时做
mysql - 启用远程访问后，ROOT 失去权限，授予 ROOT 权限不起作用
update user set host='%' where user='root 之后，我失去了我的 MySQL root 用户的一些权限。所以我停止了服务器并用 --skip-grant-tabl

首页

博学

6Ren·AI

商城

node.js - 在 Docker 中以非 root 用户身份运行应用程序