以非root用户身份运行Docker容器

当您在Docker容器中运行应用程序时，默认情况下，它有权访问所有root特权。您可能已经注意到，当打开Ubuntu Docker Container Bash时，默认情况下您以root用户身份登录。在应用程序的安全性方面，这可能是一个主要问题。任何局外人都可以滥用此功能，并入侵整个Container以及在Docker Container中运行的所有其他文件和应用程序。因此，尽可能以非root用户身份执行大多数琐碎操作变得非常重要。

在本文中，我们将讨论两种以非根用户身份访问Docker容器的方法。

•  将用户添加到Docker组

您可以尝试通过将用户添加到Docker组来以非根用户身份运行Docker容器。如果没有Docker组，则始终可以创建一个。

您可以使用以下命令创建Docker组。

sudo groupadd docker

如果您的本地计算机上已经有一个Docker组，则以下命令的输出将是-

groupadd: group 'docker' already exists

创建Docker组后，现在可以使用以下命令添加“非根用户”。

sudo usermod −aG docker [non−root user]

要验证组成员身份，您需要重新登录到Docker。

• 使用Dockerfile

使用非根用户访问Docker容器的另一种更简单的解决方案是在Dockerfile中指定指令。Docker允许您使用-u标志以及useradd命令添加用户，然后使用USER指令，您可以在启动Docker容器时决定要登录的用户。

查看下面的Dockerfile。

#Pull the base image as Ubuntu
FROM ubuntu:latest

#Add a user with userid 8877 and name nonroot
RUN useradd −u 8877 nonroot

#Run Container as nonroot
USER nonroot

在上面的Dockerfile中，Ubuntu是从Docker注册表中提取的基本Docker映像。useradd命令和-u标志一起使用Docker RUN指令添加具有指定名称和ID的用户。USER指令用于指定在运行与映像关联的Docker容器时要登录的用户。

要使用上述Dockerfile构建Docker映像，可以使用以下Docker Build命令。

sudo docker build −t my−image .

运行与Docker映像关联的Docker容器。

sudo docker run −it my−image bash

这将打开ubuntu容器的重击。要验证您是否以非root用户身份登录，可以使用id命令。

id

您会发现Docker容器的用户和组现在更改为您在Dockerfile中指定的非根用户。

多数Docker用户会忘记或发现没有必要更改其用户特权并切换为非根用户。这是一种不良做法，并且在部署和公开应用程序时始终会构成威胁。黑客不仅威胁到该特定应用程序，而且还威胁到该应用程序，它可以操纵该应用程序在其中运行的Docker容器的整个文件系统，以及可能部署在同一Docker容器中的其他重要应用程序。

在本文中，我们看到了两种不同的方法，您可以通过这些方法将当前用户切换为非root用户。由于几乎所有Docker应用程序都需要一个Dockerfile来维护Container，并且使用两个简单的附加语句，您可以进行切换，因此方法2中讨论的过程更好并且得到了广泛使用。