Docker 用户进出容器 : what is the correspondence (UID/GID), 看到我不明白的效果-6ren

Docker 用户进出容器 : what is the correspondence (UID/GID), 看到我不明白的效果

转载作者：行者123 更新时间：2023-12-04 18:59:26

25

4

我试图充分了解 docker 的功能，以便对我安全地使用它产生合理的信心。对此的一个建议是始终使用 USER Dockerfile 中的语句。在试图理解这一点的影响时，我遇到了一些麻烦。

具体问题:

什么机制可以让宿主机内核处理只存在于容器中的用户？

为什么下面的run2显示目录属于testuser但不允许 ls什么时候在目录？

为什么下面的run3显示目录属于testuser ?

此问题底部的版本信息。

设置

我有以下 Dockerfile

FROM alpine@sha256:1354db23ff5478120c980eca1611a51c9f2b88b61f24283ee8200bf9a54f2e5c

LABEL version 2.0
LABEL description "Test image for setting user"

RUN adduser -D testuser1   ## sometimes removed
RUN adduser -D testuser2   ## sometimes removed
RUN adduser -D testuser

USER testuser

CMD sh

我用

docker build -t kasterma/testuser:1 .

然后运行

docker run -ti -v /home/kasterma/test-user/:/test-home kasterma/testuser:1

目录 /home/kasterma/test-user/是包含 Dockerfile 的目录。

运行 1:删除标记为 ##sometimes removed 的两行在 Dockerfile 中。

[root@datalocal01 test-user]# docker run -ti -v /home/kasterma/test-user/:/test-home kasterma/testuser:1
/ $ ls -lh
...
drwx------    2 1001     1001          40 Dec 30 14:08 test-home
...

这里显示用户和组都为 1001；这是 kasterma的用户和组ID在主机。在这种情况下 testuser有 uid 和 gid 1000。

还

/ $ cd test-home
sh: cd: can't cd to test-home

运行 2:仅删除标记为 ##sometimes removed 的第二行在 Dockerfile 中。

/ $ ls -lh
...
drwx------    2 testuser testuser      40 Dec 30 14:12 test-home
...

和

/ $ cd test-home
/test-home $ ls
ls: can't open '.': Permission denied

现在 testuser和 kasterma具有相同的 uid 和 gid(尽管一个在容器中，另一个在主机上)。为什么我可以 cd ，但不是 ls ?

运行 3:删除标记为 ##sometimes removed 的任何一行在 Dockerfile 中。

/ $ ls -lh
...
drwx------    2 testuser testuser      40 Dec 30 14:15 test-home
...

和

/ $ cd test-home
sh: cd: can't cd to test-home

现在 testuser uid 和 gid 为 1002，所以与 kasterma 不同.但 list 显示它为 testuser，但 cd命令失败。

版本信息

操作系统版本(在 VirtualBox 中的 VM 上运行)

[root@datalocal01 test-user]# uname -a
Linux datalocal01 3.10.0-514.2.2.el7.x86_64 #1 SMP Tue Dec 6 23:06:41 UTC 2016 x86_64 x86_64 x86_64 GNU/Linux

和 docker

[root@datalocal01 test-user]# docker version
Client:
 Version:         1.10.3
 API version:     1.22
 Package version: docker-common-1.10.3-59.el7.centos.x86_64
 Go version:      go1.6.3
 Git commit:      3999ccb-unsupported
 Built:           Thu Dec 15 17:24:43 2016
 OS/Arch:         linux/amd64

Server:
 Version:         1.10.3
 API version:     1.22
 Package version: docker-common-1.10.3-59.el7.centos.x86_64
 Go version:      go1.6.3
 Git commit:      3999ccb-unsupported
 Built:           Thu Dec 15 17:24:43 2016
 OS/Arch:         linux/amd64

最佳答案

当主机运行 SELinux 时，如果没有标记，您可能无法访问文件系统内容。
来自 人 docker-run

Labeling systems like SELinux require that proper labels are placed on volume content mounted into a container. Without a label, the security system might prevent the processes running inside the container from using the content. By default, Docker does not change the labels set by the OS. To change a label in the container context, you can add either of two suffixes :z or :Z to the volume mount. These suffixes tell Docker to relabel file objects on the shared volumes. The z option tells Docker that two containers share the volume content. As a result, Docker labels the content with a shared content label. Shared volume labels allow all containers to read/write content. The Z option tells Docker to label the content with a private unshared label. Only the current container can use a private volume.

所以，你可以试试，而不是禁用 SELinux

docker run -ti -v /home/kasterma/test-user/:/test-home:Z kasterma/testuser:1

见 Using Volumes with Docker can Cause Problems with SELinux更多细节。

我在我的盒子上尝试了你的用例(没有 SELinux 并且有 Docker 版本 1.12.5):我总是获得正确的“testuser”所有权，我能够更改目录并列出其内容(我的本地 uid 是 1000，我没有没有更多的用户在它之上)。因此，您的问题可能是由于较旧的 Docker 版本造成的。

如果与 SELinux 和旧 Docker 版本无关，则您描述的行为似乎与 有关。用户命名空间 .

检查您主机的内核是否启用了用户命名空间(CentOS 7，这似乎是您正在使用的发行版，默认情况下不启用它。

看 Using User Namespaces on Docker描述了如何在 CentOS 7 上启用用户命名空间以及如何检查正确的行为。

关于用户命名空间的详细信息，请查看以下几个站点:

Introduction to User Namespaces in Docker Engine

Docker Security

User namespaces have arrived in Docker!

Docker for your users - Introducing user namespace

您可以在 Deni Bertovic blog - Handling Permissions with Docker Volumes 上找到关于在引入用户命名空间之前(Docker 1.10 之前)之前 Docker 卷中权限的明确描述。 .

希望能帮助到你。

关于Docker 用户进出容器 : what is the correspondence (UID/GID), 看到我不明白的效果，我们在Stack Overflow上找到一个类似的问题： https://stackoverflow.com/questions/41397809/

25

4

0

文章推荐： Kotlin 可空变量赋值

文章推荐： F# 程序在 fsi 中正确运行，但作为 exe 挂起

文章推荐： angularjs - 浏览器后退按钮上的 CORS 错误

文章推荐： android - 模拟对象仍在调用方法(Mockito + Kotlin)

uml - guest 、用户、版主、管理员 - vs - 用户(角色 : guest, 用户、版主、管理员)
在为 Web 应用程序用例图建模时，为用户可以拥有的每个角色创建一个角色是否更好？或拥有一个角色、用户和一个具有特权的矩阵？ guest < 用户 < 版主 < 管理员 1: guest 、用户、版主
postgresql - Postgres 不允许更改角色 super 用户，我的默认用户不是 super 用户
我无法使用 Elixir 连接到 Postgres: ** (Mix) The database for PhoenixChat.Repo couldn't be created: FATAL 28P
Java Lambda 流列表<用户> 到映射<角色，列表<用户>>
这个问题已经有答案了: Group by field name in Java (7 个回答) 已关闭 7 年前。我必须编写一个需要 List 的方法并返回 Map> . User包含 Person
PHP，SQL - 获取表 id = 用户 id 的数据并计算行 = 用户 id 的其他表
感谢您的帮助，首先我将显示代码: $dotaz = "Select * from customers JOIN contracts where customers.user_id ='".$_SESS
android - 从 firebase 获取所有 child (用户)但向一个 child (用户)显示按钮？
我只想向所有用户中的一个用户显示一个按钮。我尝试了 orderByKey() 但没有成功! 用户模型有 id 成员，我尝试使用 orderByChild("id") 但结果相同! 我什至尝试了以下技巧
database - 让 PostgreSQL BDR 在没有 super 用户(postgres 用户)权限的情况下工作？
我们在工作中从 MongoDB 切换到 Postgres，我正在建立一个 BDR 组。在这一步，我正在考虑安全性并尽可能锁定。因此，我希望设置一个 replication 用户(角色)并让 BDR
"this.users = users;" not binding to "users;" property(“this.users=用户；”不绑定到“用户；”属性)
export class UserListComponent implements OnInit{ users; constructor(private userService: UserS
symfony - 更改密码在 FOS 用户 bundle + Sonata 用户 bundle +sonata 管理员 bundle 中不起作用
我可以使用 Sonata User Bundle 将 FOS 包集成到 sonata Admin 包中。我的登录功能正常。现在我想添加 FOSUserBundle 中的更改密码等功能到 sonata
oauth - 创建应用程序时，我从 LinkedId 获得的 OAuth 用户 token 和 OAuth 用户 key 的目的是什么
在 LinkedIn 中创建新应用程序时，我得到 4 个单独的代码: API key 秘钥 OAuth 用户 token OAuth 用户密码我在 OAuth 流程中使用前两个。的目的是什么？最后
c# - 用户 '' 登录失败，无法打开登录请求的数据库 "Database1.mdf"。登录失败。用户 'rBcollo-PC\rBcollo' 登录失败
所以..我几乎解决了所有问题。但现在我要处理另一个问题。我使用了这个连接字符串: SqlConnection con = new SqlConnection(@"Data Source=.\SQLEX
javascript - 通过 ids 匹配 2 个数组(用户 [用户 id 作为键] 到订单 [订单 ids 数组的值])
我有一组“用户”和一组“订单”。我想列出每个 user_id 的所有 order_id。 var users = { 0: { user_id: 111, us
django - “用户”对象没有属性is_authenticated
我已经为我的Django应用创建了一个用户模型 class User(Model): """ The Authentication model. This contains the u
laravel - 未定义密码重置器 [用户]
我被这个问题困住了，找不到解决方案。寻找一些方向。我正在用 laravel 开发一个新的项目，目前正致力于用户认证。我正在使用 Laravels 5.8 身份验证模块。对密码恢复 View 做了一些
ansible 用户配置中的当前用户
安装后我正在使用ansible配置几台计算机。为此，我在机器上本地运行 ansible。安装中的“主要”用户通常具有不同的名称。我想将该用户用于诸如 become_user 之类的变量. “主要”用
Django从批处理文件创建 super 用户
我正在尝试制作一个运行 syncdb 的批处理文件来创建一个数据库文件，然后使用用户名“admin”和密码“admin”创建一个 super 用户。到目前为止我的代码: python manage.
Vim 用户，你们的右手放在哪里？
关闭。这个问题是opinion-based 。目前不接受答案。想要改进这个问题吗？更新问题，以便 editing this post 可以用事实和引文来回答它。 . 已关闭 6 年前。 Improv
Azure 故障转移数据库不复制登录名/用户
我已在 Azure 数据库服务器上设置异地复制。服务器上运行的数据库之一具有我通过 SSMS 创建的登录名和用户: https://learn.microsoft.com/en-us/azure/s
Ionic2 NativeStorage无法获取项目(用户)
我有一个 ionic 2 应用程序，正在使用 native FB Login 来检索名称/图片并将其保存到 NativeStorage。流程是我打开WelcomePage、登录并保存数据。从那里，na
Django - 用户 is_active
这是我的用户身份验证方法: def user_login(request): if request.method == 'POST': username = request.P
python - “用户”对象不可迭代
我试图获取来自特定用户的所有推文，但是当我迭代在模板中抛出推文时，我得到“User”对象不可迭代观看次数 tweets = User.objects.get(username__iexact='us

首页

博学

6Ren·AI

商城

Docker 用户进出容器 : what is the correspondence (UID/GID), 看到我不明白的效果