Docker 之 资源

本文探讨了Docker中用户管理的重要性,展示了如何检查和设置容器的默认用户,以及通过实例说明了使用非root用户运行容器的安全优势。文章强调了在Docker环境下,合理设置用户权限对于防止潜在安全威胁的关键作用。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Docker 资源隔离技术涉及linux八个命名空间的使用
在这里插入图片描述
同时docker还提供了一些选项让我们能够对mem, cpu, devices 进行分配。

怎么判断一个镜像的默认用户呢?

  1. docker run --rm --entrypoint “” busybox:latest whoami
  2. docker run --rm --entrypoint “” busybox:latest id

whoani 和 id 都是linux自带的命令, 所以我们放心使用。

为什么要确定镜像的默认user, 请看下图?

在这里插入图片描述

如果一个镜像的默认用户存在过高权限,会存在黑客攻击的威胁,那么怎么避免折中情况呢, 当我们创建运行容器时可以指定容器的用户。

  1. 查看镜像中所支持的用户

    docker run --rm busybox:latest awk -F: ‘$0=$1’ /etc/passwd

  2. 设置容器运行时用户

    docker run -u nobody --rm busybox:latest id

有些人可能会问,为什么使用默认的root 用户可能会存在安全隐患,那是因为Docker 和 宿主机共用了user命名空间。下面分享一个例子来证明:

  1. echo “e=mc^2” > garbage
  2. chmod 600 garbage
  3. sudo chown root:root garbage
  4. docker run --rm -u nobody -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
    在这里插入图片描述
  5. docker run --rm -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
    在这里插入图片描述
    从上述例子中我们可以看到,使用nobody 用户访问宿主机中的测试文件提示权限不足,但使用root用户则可以访问。
    值得注意的是无论是容器还是宿主机的root 用户user id 都为 0.

为了更好的控制用户和资源挂载,这里推荐使用user id: user group的方式来设置容器的用户访问, 例子如下:
docker run -u 2000:2000 ubuntu:latest echo “hello world”

评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值