dockerfile设置user后应注意设置挂载目录的用户和权限

dockerfile 中的user

dockerfile中可以通过user指定username/uid来设置docker中运行程序在linux主机上的用户。这样设置的好处是避免docker命令默认情况下使用linux中root用户作为运行者,从而拥有过高的权限的不安全性。
但在通过user设置用户名时,需要注意:

  • 在linux上对docker镜像使用的资源(volume挂载文件夹等)设置用户权限。
  • 尽量使用uid配置,因为docker作为虚拟容器,用户名若出现冲突/命名不一致,会导致权限不足的情况,linux的用户uid则可以在docker-linux之间进行传递。(这里的传递机制是linux默认使用uid进行用户验证的)

linux添加用户并配置权限

  • useradd
    useradd可用来建立用户帐号。帐号建好之后,再用passwd设定帐号的密码.而可用userdel删除帐号。使用useradd指令所建立的帐号,实际上是保存在/etc/passwd文本文件中。
    文件说明:
    • /etc/passwd 用户的配置文件,内容格式 root:x:0:0:root:/root:/bin/bash用户名:口令:用户标识号:组标识号:注释性描述:主目录:登录Shell
    • /etc/shadow 用户配置的补充:root:!:17043:0:99999:7:::登录名:加密口令:最后一次修改时间:最小时间间隔:最大时间间隔:警告时间:不活动时间:失效时间:标志
    • /etc/group 账户组配置 root:x:0:组名:口令:组标识号:组内用户列表

useradd [-d home] [-s shell] [-c comment] [-m [-k template]] [-f inactive] [-e expire ] [-p passwd] [-r] name
参数详解:

参数简写 全称 说明
-c comment 备注信息 加上备注文字,备注文字保存在passwd的备注栏中。
-d home 用户的主目录 指定用户登入时的主目录,替换系统默认值/home/<用户名>
-D 变更预设值。
-e expire 过期时间 指定账号的失效日期,日期格式为MM/DD/YY,例如06/30/12。缺省表示永久有效。
-f inactive 过期关闭 指定在密码过期后多少天即关闭该账号。如果为0账号立即被停用;如果为-1则账号一直可用。默认值为-1.
-g group 用户所属的组 指定用户所属的群组。值可以使组名也可以是GID。用户组必须已经存在的,期默认值为100,即users。
-G group 附加群组 指定用户所属的附加群组。
-m 不跟后缀命令单独使用 自动建立用户的登入目录。
-M 不跟后缀命令单独使用 不要自动建立用户的登入目录。
-n nogroup 取消建立以用户名称为名的群组,不指定-g/-G时,会自动创建与名字相同的group,使用-n则不创建group。
-r 建立系统账号。
-s shell 指定登录用户后的shell命令常用为 /bin/bash /sbin/nologin 指定用户登入后所使用的shell。默认值为/bin/bash。
-u uid 用户的uid值 指定用户ID号。该值在系统中必须是唯一的。0~499默认是保留给系统用户账号使用的,所以该值必须大于499。

其中的 -d -g -s -u为常用选项

权限相关

  • 查看文件/文件夹权限
    使用 ll或者 ls -l命令可以查看文件夹下的文件/文件夹的权限相关信息
[root@localhost redisdata]# ll
total 0
-rw-r--r--. 1 redistest root 0 Nov  4 09:26 appendonly.aof
`权限 文件数量 所有者 组群 大小 创建日期 名称`

-rw-r--r--.表示的是文件夹/文件的权限相关信息,第一位 -d 表示是文件 还是文件夹,后面每三位一组分别表示 所有者(user)、组群(group)、其他人(other)的权限项目。
rwx三位数字的顺序表示为 r=read读取权限,w=write写入权限,x=executable可执行文件执行权限,若无此权限,则使用-代替,表示无。

其中的rwx也可以用数字来代替
r=4、w=2、x =1、-=0,这样的话,对于ug0的权限可以使用754这样的位表示法简写。

-rw------- (600) 只有所有者才有读和写的权限
-rw-r--r-- (644) 只有所有者才有读和写的权限,组群和其他人只有读的权限
-rwx------ (700) 只有所有者才有读,写,执行的权限
-rwxr-xr-x (755) 只有所有者才有读,写,执行的权限,组群和其他人只有读和执行的权限
-rwx--x--x (711) 只有所有者才有读,写,执行的权限,组群和其他人只有执行的权限
-rw-rw-rw- (666) 每个人都有读写的权限
-rwxrwxrwx (777) 每个人都有读写和执行的权限

修改权限chmod

chmod 选项 参数
chmod [{ugoa}{+-=}{rwx}] [文件或目录]

在chmod中使用linux中权限和用户相关的tag来表示。


tag 说明
u 代表所有者(user)
g 代表所有者所在的组群(group)
o 代表其他人,但不是u和g (other)
a 代表全部的人,也就是包括u,g和o
r 表示文件可以被读(read)
w 表示文件可以被写(write)
x 表示文件可以被执行(如果它是程序的话)
  • 选项 选项一般使用下方所示的格式指定权限
<权限范围>+<权限设置>:开启权限范围的文件或目录的该选项权限设置;
<权限范围>-<权限设置>:关闭权限范围的文件或目录的该选项权限设置;
<权限范围>=<权限设置>:指定权限范围的文件或目录的该选项权限设置;
  • 参数 参数一般就是指定的文件/文件夹
chmod u+x file               //为文件设置:所有者可以执行的权限
chmod u=rwx,g=rw,o=r dir  //为文件夹设置:所有者读写执行权限,组群读写权限,其他人读权限
chmod 764 dir                    //修改权限为 读写执行、读写,读
chmod a+x file            //对文件的u,g,o都设置可执行属性
©著作权归作者所有,转载或内容合作请联系作者
  • 序言:七十年代末,一起剥皮案震惊了整个滨河市,随后出现的几起案子,更是在滨河造成了极大的恐慌,老刑警刘岩,带你破解...
    沈念sama阅读 215,539评论 6 497
  • 序言:滨河连续发生了三起死亡事件,死亡现场离奇诡异,居然都是意外死亡,警方通过查阅死者的电脑和手机,发现死者居然都...
    沈念sama阅读 91,911评论 3 391
  • 文/潘晓璐 我一进店门,熙熙楼的掌柜王于贵愁眉苦脸地迎上来,“玉大人,你说我怎么就摊上这事。” “怎么了?”我有些...
    开封第一讲书人阅读 161,337评论 0 351
  • 文/不坏的土叔 我叫张陵,是天一观的道长。 经常有香客问我,道长,这世上最难降的妖魔是什么? 我笑而不...
    开封第一讲书人阅读 57,723评论 1 290
  • 正文 为了忘掉前任,我火速办了婚礼,结果婚礼上,老公的妹妹穿的比我还像新娘。我一直安慰自己,他们只是感情好,可当我...
    茶点故事阅读 66,795评论 6 388
  • 文/花漫 我一把揭开白布。 她就那样静静地躺着,像睡着了一般。 火红的嫁衣衬着肌肤如雪。 梳的纹丝不乱的头发上,一...
    开封第一讲书人阅读 50,762评论 1 294
  • 那天,我揣着相机与录音,去河边找鬼。 笑死,一个胖子当着我的面吹牛,可吹牛的内容都是我干的。 我是一名探鬼主播,决...
    沈念sama阅读 39,742评论 3 416
  • 文/苍兰香墨 我猛地睁开眼,长吁一口气:“原来是场噩梦啊……” “哼!你这毒妇竟也来了?” 一声冷哼从身侧响起,我...
    开封第一讲书人阅读 38,508评论 0 271
  • 序言:老挝万荣一对情侣失踪,失踪者是张志新(化名)和其女友刘颖,没想到半个月后,有当地人在树林里发现了一具尸体,经...
    沈念sama阅读 44,954评论 1 308
  • 正文 独居荒郊野岭守林人离奇死亡,尸身上长有42处带血的脓包…… 初始之章·张勋 以下内容为张勋视角 年9月15日...
    茶点故事阅读 37,247评论 2 331
  • 正文 我和宋清朗相恋三年,在试婚纱的时候发现自己被绿了。 大学时的朋友给我发了我未婚夫和他白月光在一起吃饭的照片。...
    茶点故事阅读 39,404评论 1 345
  • 序言:一个原本活蹦乱跳的男人离奇死亡,死状恐怖,灵堂内的尸体忽然破棺而出,到底是诈尸还是另有隐情,我是刑警宁泽,带...
    沈念sama阅读 35,104评论 5 340
  • 正文 年R本政府宣布,位于F岛的核电站,受9级特大地震影响,放射性物质发生泄漏。R本人自食恶果不足惜,却给世界环境...
    茶点故事阅读 40,736评论 3 324
  • 文/蒙蒙 一、第九天 我趴在偏房一处隐蔽的房顶上张望。 院中可真热闹,春花似锦、人声如沸。这庄子的主人今日做“春日...
    开封第一讲书人阅读 31,352评论 0 21
  • 文/苍兰香墨 我抬头看了看天上的太阳。三九已至,却和暖如春,着一层夹袄步出监牢的瞬间,已是汗流浃背。 一阵脚步声响...
    开封第一讲书人阅读 32,557评论 1 268
  • 我被黑心中介骗来泰国打工, 没想到刚下飞机就差点儿被人妖公主榨干…… 1. 我叫王不留,地道东北人。 一个月前我还...
    沈念sama阅读 47,371评论 2 368
  • 正文 我出身青楼,却偏偏与公主长得像,于是被迫代替她去往敌国和亲。 传闻我的和亲对象是个残疾皇子,可洞房花烛夜当晚...
    茶点故事阅读 44,292评论 2 352

推荐阅读更多精彩内容