Docker 容器中的 UID 和 GID 解析

最新推荐文章于 2025-05-09 10:38:44 发布
最新推荐文章于 2025-05-09 10:38:44 发布
阅读量1.6k 收藏
点赞数
文章标签: docker 容器 运维 服务器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/YbeCoder/article/details/133228548
版权
服务器 专栏收录该内容
220 篇文章 ¥59.90 ¥99.00
订阅专栏
本文详细介绍了Docker容器中的UID和GID,它们在Linux系统中的作用,以及如何在容器中使用非特权用户提高安全性。通过示例代码展示了如何在Dockerfile中指定用户和获取容器内用户ID,强调了遵循最佳实践的重要性。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在 Docker 容器中,UID(用户标识符)和 GID(组标识符)是用于标识用户和组的数字。理解容器中的 UID 和 GID 对于确保容器内部的用户和组与宿主机环境保持一致非常重要。在本文中,我们将深入探讨 Docker 容器中的 UID 和 GID,并提供一些示例代码来说明其用法。

  1. UID 和 GID 的基本概念
    在 Linux 系统中,每个用户和组都有一个唯一的数字标识符。这些标识符被称为 UID 和 GID。UID 用于标识用户,GID 用于标识组。每个用户和组在系统中都有一个对应的数字标识符。

  2. 容器中的 UID 和 GID
    当我们在 Docker 容器中运行应用程序时,容器内部的用户和组与宿主机环境中的用户和组之间存在映射关系。默认情况下,容器中的 root 用户的 UID 和 GID 与宿主机的 root 用户的 UID 和 GID 相同。这意味着容器中的 root 用户具有与宿主机 root 用户相同的特权。

然而,为了增加容器的安全性,最佳实践是避免在容器中使用 root 用户。相反,我们应该使用非特权用户来运行容器中的应用程序。这可以通过在 Dockerfile 中使用 USER 指令来实现,该指令允许我们指定在容器中运行应用程序时使用的非特权用户。

例如,以下是一个 Dockerfile 的示例,其中指定了在容器中使用的非特权用户:


                

                
                
        

    

  


        

            

                

                

                了解本专栏
                
                
                  
                订阅专栏 解锁全文
                 
            

        


    



                



	

		

			

				
					
Docker 容器UID  GID 的工作原理

				
			

			

				

					wjianwei666的专栏
				

				

					03-10
					
					336
					
				

			

		

		

			
				
当我在 Dockerfile 中创建一个不同的用户并以该用户身份启动命令时会发生什么?为了简化这个例子,我这里没有指定 gid,但相同的概念也适用于组 id。首先,我正在以用户名为“marc”的用户身份运行这些命令,该用户的用户ID为1001。1001这里到底发生了什么,这意味着什么?我构建了一个 Docker 镜像,其中有一个名为“appuser”的用户,该用户的 uid 为 1001。在我的测试服务器上,我使用的帐户名为“marc”,uid 也是 1001。

			
		

	



                

            
              



	

		

			

				
					
理解 docker 容器中的 uid  gid

				
			

			

				

					weixin_34176694的博客
				

				

					09-10
					
					1661
					
				

			

		

		

			
				
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)组 id(gid)如何在容器内的进程主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04...

			
		

	



              


  
              

                


	

		

			

				
					
了解uidgid如何在Docker容器中工作

				
			

			

				

					weixin_30488085的博客
				

				

					08-22
					
					327
					
				

			

		

		

			
				
​了解用户名,组名,用户ID(uid组ID(gid)如何在容器内运行的进程与主机系统之间进行映射对于构建安全系统非常重要。如果没有提供任何其他选项,容器中的进程将以root身份执行(除非在Dockerfile中提供了不同的uid)。本文将解释这是如何工作的,如何正确授予权逐步分析uid/god安全性首先,让我们回顾一下如何实现 uid  gids.linux 内核负责管理 uid  gid...

			
		

	





	

		

			

				
					
UIDGID的区别

				
			

			

				

					祯的博客
				

				

					04-20
					
					661
					
				

			

		

		

			
				
UIDGID的区别

			
		

	



		

			
		



	

		

			

				
					
adb指令通过uid控制_理解 docker 容器中的 uid  gid

				
			

			

				

					weixin_39589557的博客
				

				

					11-21
					
					355
					
				

			

		

		

			
				
默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户宿主机中的 root 是同一个用户。听起来是不是很可怕,因为这就意味着一旦容器中的进程有了适当的机会,它就可以控制宿主机上的一切!本文我们将尝试了解用户名、组名、用户 id(uid)组 id(gid)如何在容器内的进程主机系统之间映射,这对于系统的安全来说是非常重要的。说明:本文的演示环境为 ubuntu 16.04...

			
		

	





	

		

			

				
					
深入理解docker容器中的uidgid

				
			

			

				

					09-30
				

			

		

		

			
				
主要介绍了深入理解docker容器中的uidgid,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧

			
		

	





	

		

			

				
					
linux系统创建两个ftp可读写的虚拟帐号_linux创建管理用户组命令整理及Linux用户组机制的原理...

				
			

			

				

					weixin_39636608的博客
				

				

					01-22
					
					330
					
				

			

		

		

			
				
Linux添加或者删除用户用户组时常用的一些命令参数。1、建用户:adduser phpq //新建phpq用户passwd phpq //给phpq用户设置密码2、建工作组groupadd test //新建test工作组3、新建用户同时增加工作组useradd -g test phpq //新建phpq用户并增加到test工作组注::-g 所属组 -d 家目录 -s 所用的SHELL4、给...

			
		

	





	

		

			

				
					
Docker容器启动失败:权限不足问题全解析

					
最新发布

				
			

			

				

					我是赛博AI Lewis
				

				

					05-09
					
					1033
					
				

			

		

		

			
				
在启动Docker容器时,权限不足是常见问题,通常表现为“Permission denied”错误。主要原因包括SELinux限制、挂载目录权限冲突镜像构建缺陷。解决方案包括临时使用--privileged=true参数、关闭SELinux、调整挂载目录权限或优化镜像构建。深入排查步骤包括检查容器日志、验证SELinux状态检查目录权限。最佳实践包括遵循最小权限原则、进行镜像合规检查日志监控。通过这些方法,可以有效解决大多数容器权限问题,确保安全性稳定性。

			
		

	





	

		

			

				
					
企业化运维(8)Docker容器技术

				
			

			

				

					weixin_46927961的博客
				

				

					07-28
					
					1633
					
				

			

		

		

			
				
自定义网络模式,docker提供了三种自定义网络驱动:• bridge• overlay• macvlanbridge驱动类似默认的bridge网络模式,但增加了一些新的功能,overlaymacvlan是用于创建跨主机网络。建议使用自定义的网络来控制哪些容器可以相互通信,还可以自动DNS解析容器名称到IP地址。自定义网络查看自定义网络地址段查看使用--ip参数可以指定容器ip地址,但必须是在自定义网桥上,默认的 bridge模式不支持,同一网桥上的容器是可以互通的。

			
		

	





	

		

			

				
					
docker容器4 :docker存储dockerfile相关指令

				
			

			

				

					WFL_BOKE的博客
				

				

					04-27
					
					947
					
				

			

		

		

			
				
docker CE:只有部分配置被测试过,并且操作系统的内核不可能支持每个存储驱动,最佳配置是使用带有支持overlay2存储驱动的内核的现代linux发行版,并且对于大量的工作负载要使用docker卷写入,而不是将数据写入容器的可写层。联合文件系统实际上是由存储驱动实现的,相应的存储驱动有aufs,overlay,overlay2,deveicemapper,btrfs,zfs,vfs等。docker目录:docker根目录就是docker中存放镜像容器的目录,默认是:/var/lib/docker

			
		

	





	

		

			

				
					
容器-Docker《三》容器管理

				
			

			

				

					weixin_51943889的博客
				

				

					01-03
					
					1410
					
				

			

		

		

			
				
docker容器管理

			
		

	





	

		

			

				
					
docker-uid-gid-fix:设置容器内主机安装目录的正确所有权的另一种方法

				
			

			

				

					05-05
				

			

		

		

			
				
确保从主机装载的目录在容器内具有正确所有权的替代方法。
问题
我们在docker host /host/data/上有一个目录,所有者为uidgid为777:888 。 如果我们使用--volume /host/data/:/srv/myservice安装到--volume /host/data/:/srv/myservice容器,则无法保证该容器具有uidgid匹配777:888 。 假设容器中有myservice用户,该用户应拥有/srv/myservice 。
解决方案
我们提供2种方法来确保正确的权限:
 在容器启动时运行chown myservice -R /srv/myservice 。 当/srv/service有很多文件时,我们可能不希望这样做,或者我们关心将数字uidgid保留在主机中。
 更改容器开始时myservice用户的uidgid以与安装的目录匹配
该存

			
		

	





	

		

			

				
					
docker】理解 docker 容器中的 uid  gid

				
			

			

				

					michaelwoshi的博客
				

				

					11-28
					
					801
					
				

			

		

		

			
				
理解 docker 容器中的 uid  gid

https://www.cnblogs.com/sparkdev/p/9614164.html



隔离 docker 容器中的用户

https://www.cnblogs.com/sparkdev/p/9614326.html



How uid mapping works in Docker containers?

https:/...

			
		

	





	

		

			

				
					
Docker 部署 MySQL 5.7 的陷阱:UID/GID 冲突的解决方案

				
			

			

				

					wuseyukui的专栏
				

				

					08-10
					
					1040
					
				

			

		

		

			
				
最近在做AI大模型相关的项目,项目中因为要大模型服务通信,涉及到的样本信息非常多,导致报文非常大,在写HTTP日志时,MySQL会报错,因为MySQL默认的最大报文长度(max_allowed_packet)是4M,如果请求的报文超过4M,会报错,如“Row size too large. The maximum row size for the used table type”。如果还没有创建 mysql 用户用户组,可以创建并指定 UID  GID容器内的相同:​​​​​​​。

			
		

	





	

		

			

				
					
群晖 Docker 容器文件夹出现未知用户 UID 1000

				
			

			

				

					Darker的博客
				

				

					11-08
					
					1652
					
				

			

		

		

			
				
在使用群晖的Docker管理器时,部分容器生成的本地文件夹出现了“未知用户/组:1000”的问题。这篇博客将解释产生该问题的原因,并提供详细的解决步骤,帮助您修复这个权限问题。

			
		

	





	

		

			

				
					
docker 搭建jenkins, 宿主机挂载路径uid,gid均正确却还报Permission denied,请考虑是否是selinux缘故

				
			

			

				

					colorful_starhui的专栏
				

				

					12-08
					
					2902
					
				

			

		

		

			
				
1)创建jenkins容器docker run -d --name jenkins -p 8080:8080 -p 8081:8081 -v /var/jenkins_home:/var/jenkins_home jenkins
(note:docker中jenkins的uid,gid默认都是1000,因此宿主机的路径必须也要设置成相同的权限)


2)检查容器状态:
dock

			
		

	





	

		

			

				
					
Docker使用教程

				
			

			

				

					xiaoxia_android的博客
				

				

					12-25
					
					507
					
				

			

		

		

			
				
docker build -t imageName:tag .    这里的.表示从当前路径以及子路径下寻找Dockerfile文件,并且创建镜像。使用指定镜像运行启动一个新的容器实例:docker  run -p 宿主机ip:容器ip   --name mysql。使用容器id进入容器内部:docker exec -it 775c7c9ee1e1 /bin/bash。启动docker:systemctl start docker。使用容器id继续运行容器:docker start id。

			
		

	





	

		

			

				
					

				
			

			

				

					
				

			

		

		

			
				

			
		

	



              




          




        



    





    



      

      

        
      

      





	

		评论	
	

	
	




  

    

      添加红包
      
    

    

      

        
        

          
          
        

        
请填写红包祝福语或标题

      

      

        
        

          
          
        

        
红包个数最小为10个

      

      

        
        

          
          
        

        
红包金额最低5元

      

      

        
        

          当前余额3.43前往充值 >
        

      

      

        

          需支付:10.00

        
        
      

    

  





  

    
    
  

  

    
    
  








  

    

      

        

          

            
            
成就一亿技术人!

          

          

        

        

          

          

            领取后你会自动成为博主和红包主的粉丝
            规则
          

        

      

      

        

          

            
              
            
            

              
hope_wisdom
 发出的红包
            

          

        

        

          

          

          

        

      

    

    

  



      
      

      
实付

      
使用余额支付

      

        

          

            
            点击重新获取
          

        

        
扫码支付

      

      

        
          
            
          
          
        
      

      

        
        钱包余额
          0
          

            
            

              

                
抵扣说明:

                
 1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
 2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

              

            

          

      

      余额充值