我的 php 脚本在 docker 中运行,我需要使用 www-data 用户运行它,所以在我的 dockerfile 的 ENTRYPOINT 中我可以
su www-data -s /bin/sh -c "/usr/local/bin/php xxx"
或者
sudo -u www-data "/usr/local/bin/php xxx"
我知道sudo和su之间的一般区别,但是切换到非root用户有什么区别?
到目前为止,对我来说唯一的区别是没有为基于 alpine 的 docker 安装 sudo,所以我需要先安装它。
【问题讨论】:
USER www-data,然后设置CMD php xxx。在 Docker 中通常不需要 sudo,正确设置它可能会很棘手。
首先,您可能想看看this:
避免安装或使用 sudo,因为它具有不可预测的 TTY 和可能导致问题的信号转发行为。如果您绝对需要类似于 sudo 的功能,例如将守护进程初始化为 root 但以非 root 身份运行,请考虑使用“gosu”。
因此,对于您的场景,您可以使用默认的USER root 运行Dockerfile,并在docker-entrypoint.sh 中仍然使用root 运行您的命令,最后使用exec gosu xxx xxx 分叉并替换旧的过程。一个最小的例子:
Dockerfile:
FROM debian
RUN set -eux; \
apt-get update; \
apt-get install -y gosu; \
rm -rf /var/lib/apt/lists/*;
COPY docker-entrypoint.sh /usr/local/bin/
RUN chmod +x /usr/local/bin/docker-entrypoint.sh
ENTRYPOINT ["docker-entrypoint.sh"]
docker-entrypoint.sh:
#!/bin/bash
echo "show user before gosu:"
id
echo "show user after gosu:"
exec gosu www-data id
执行:
$ docker build -t abc:1 .
$ docker run --rm abc:1
show user before gosu:
uid=0(root) gid=0(root) groups=0(root)
show user after gosu:
uid=33(www-data) gid=33(www-data) groups=33(www-data)
您也可以参考一些开源图片以供参考:redis & its entrypoint
【讨论】:
sudoers 访问权限,并将他们的密码设置为一个容易猜到的东西,以纯文本形式记录在 Dockerfile 和 docker history 中。如果您可以通过先说sudo 来做任何事情,那么这充其量只是对安全性的微不足道的改进。 (也:xkcd.com/149)