要遵循 Docker 镜像的最佳实践,我们必须以非 root 用户身份运行容器(如此处所述)。
其中一个想法是添加类似于以下行的内容:
ARG USERNAME=user
ARG USER_UID=1000
ARG USER_GID=1000
RUN groupadd --gid $USER_GID $USERNAME \
&& useradd --uid $USER_UID --gid $USER_GID -m $USERNAME \
USER $USERNAME
但是,安装软件包的需要使得必须使用
rootsudogosu因此,我问自己几个有关安全最佳实践的问题:
cargogosusudo我们是否应该在 Dockerfile 的根目录中安装所有软件包,然后继续更新所有内容后创建的用户
是的。请注意,某些操作系统工具(例如 Debian APT 包管理器)需要以 root 身份运行。
我认为以 root 身份构建应用程序并在 Dockerfile 的最后仅切换到非 root
USER使用
(甚至gosu并将用户添加到 sudoers)是否有价值?sudo
不。我在 SO 问题中看到的“模式”通常涉及为用户分配一个易于猜测的固定密码,该密码在源代码管理和
docker historysudosudo您可能根本不应该安装
sudoUSERroot 是否仍应作为特权用户在 docker 内可用?
实际上,“root”被定义为用户 ID 为 0 的用户。即使您从
docker run -u 0docker exec -u 0root/etc/passwd使用
(重访)有价值吗?gosu
有一种常见的模式,即使用图像的
ENTRYPOINTexec "$@"CMDgosu#!/bin/sh
# entrypoint.sh
if [ "$(id -u)" != 0 ]; then
echo 'container must start as root' >&2
exit 1
fi
chown user /foo # or something else that must be root
exec gosu user "$@"
最后:我反对将用户名或数字 ID 作为 Dockerfile 传递
ARGdocker run -u $(id -u)