将Docker镜像中的用户切换为非root用户
我试图切换用户到tomcat7用户为了设置SSH证书。
当我做su tomcat7 ,没有任何反应。
whoami在做su tomcat7之后还是r su tomcat7
做more /etc/passwd ,我得到了清楚地显示tomcat7用户存在的以下结果:
root:x:0:0:root:/root:/bin/bash daemon:x:1:1:daemon:/usr/sbin:/bin/sh bin:x:2:2:bin:/bin:/bin/sh sys:x:3:3:sys:/dev:/bin/sh sync:x:4:65534:sync:/bin:/bin/sync games:x:5:60:games:/usr/games:/bin/sh man:x:6:12:man:/var/cache/man:/bin/sh lp:x:7:7:lp:/var/spool/lpd:/bin/sh mail:x:8:8:mail:/var/mail:/bin/sh news:x:9:9:news:/var/spool/news:/bin/sh uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh proxy:x:13:13:proxy:/bin:/bin/sh www-data:x:33:33:www-data:/var/www:/bin/sh backup:x:34:34:backup:/var/backups:/bin/sh list:x:38:38:Mailing List Manager:/var/list:/bin/sh irc:x:39:39:ircd:/var/run/ircd:/bin/sh gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh nobody:x:65534:65534:nobody:/nonexistent:/bin/sh libuuid:x:100:101::/var/lib/libuuid:/bin/sh messagebus:x:101:104::/var/run/dbus:/bin/false colord:x:102:105:colord colour management daemon,,,:/var/lib/colord:/bin/false saned:x:103:106::/home/saned:/bin/false tomcat7:x:104:107::/usr/share/tomcat7:/bin/false
我想解决的是哈德森的这个错误:
Command "git fetch -t git@________.co.za:_______/_____________.git +refs/heads/*:refs/remotes/origin/*" returned status code 128: Host key verification failed.
这是我的Dockerfile,它需要一个现有的哈德森战争文件和configuration的tarred和build立一个图像,哈德森运行良好,它只是不能访问git由于证书不存在用户tomcat7。
FROM debian:wheezy # install java on image RUN apt-get update RUN apt-get install -y openjdk-7-jdk tomcat7 # install hudson on image RUN rm -rf /var/lib/tomcat7/webapps/* ADD ./ROOT.tar.gz /var/lib/tomcat7/webapps/ # copy hudson config over to image RUN mkdir /usr/share/tomcat7/.hudson ADD ./dothudson.tar.gz /usr/share/tomcat7/ RUN chown -R tomcat7:tomcat7 /usr/share/tomcat7/ # add ssh certificates RUN mkdir /root/.ssh ADD ssh.tar.gz /root/ # install some dependencies RUN apt-get update RUN apt-get install --y maven RUN apt-get install --y git RUN apt-get install --y subversion # background script ADD run.sh /root/run.sh RUN chmod +x /root/run.sh # expose port 8080 EXPOSE 8080 CMD ["/root/run.sh"]
我正在使用最新版本的Docker(Docker版本1.0.0,build 63fe64c / 1.0.0),这是Docker中的一个错误,还是我在Dockerfile中丢失了一些东西?
您不应该在dockerfile中使用su ,但是您应该在Dockerfile中使用USER指令。
在Dockerfile构build的每个阶段,都会创build一个新的容器,因此您对用户所做的任何更改都不会在下一个构build阶段中持续存在。
例如:
RUN whoami RUN su test RUN whoami
这永远不会说用户会在第二个whoami产生一个新的容器test 。 输出将是两个根(除非你事先运行USER)。
但是,如果你这样做:
RUN whoami USER test RUN whoami
你应该看到root然后test 。
另外,你也可以像sudo一样使用sudo来运行一个命令
sudo -u test whoami
但是使用官方支持的指令似乎更好。
作为另一种解决scheme的另一种方法,不是在Dockerfile上创build映像时指明用户,而是可以通过特定容器上的命令行来按照命令执行。
使用docker exec ,使用--user指定交互式terminal将使用哪个用户帐户(容器应该正在运行,用户必须存在于集装箱系统中):
docker exec -it --user [username] [container] bash
请参阅https://docs.docker.com/engine/reference/commandline/exec/
没有真正的方法来做到这一点。 结果,像mysqld_safe这样的东西失败了,你不能在Debian docker容器中安装mysql-server,而不是跳过40个箍,因为…呃…如果它不是root,它会中止。
您可以使用USER,但如果您不是root用户,则无法进行apt-get install。
- 如何在debian上安装bcmath:jessie php5.6?
- W:文件大小/var/lib/apt/lists/http.debian.net_debian_dists_jessie_main_binary-amd64_Packages.gz不是服务器报告的内容9101219 9117278
- 来自debian的docker:wheezy不能构build
- 未能启动Debian Stretch Slim Docker容器与互联网访问
- 通过Dockerfile创buildcron作业
- 作为未知用户标识运行的Docker镜像可以删除根文件
- 如何configurationDebian SSHD在Docker容器中进行远程debugging?
- 是否有可能从debian镜像中创build一个docker镜像
- Docker Debian apt从服务器读取错误