j'utilise alpine (ou une image basée sur Alpine) comme image de base dans mon Dockerfile. Quelles instructions dois-je ajouter pour créer un utilisateur?
Finalement, j'utiliserai cet utilisateur pour exécuter l'application que je placerai dans le conteneur afin que l'utilisateur root ne le fasse pas.
Réponses:
Alpine utilise la commande adduseret addgrouppour créer des utilisateurs et des groupes (plutôt que useraddet usergroup).
FROM alpine:latest
# Create a group and user
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
# Tell docker that all future commands should run as the appuser user
USER appuser
Les drapeaux pour addusersont:
Utilisation: adduser [OPTIONS] USER [GROUP]
Créer un nouvel utilisateur ou ajouter USER à GROUP
-h Répertoire de base DIR
-g Champ GECOS GECOS
-s SHELL Shell de connexion
-G Groupe GRP
-S Créer un utilisateur système
-D Ne pas attribuer de mot de passe
-H Ne crée pas de répertoire personnel
-u UID ID utilisateur
-k SKEL Répertoire Skeleton (/ etc / skel)
USER guest?
adduseret addgroupsont différentes de adduseret addgrouptelles que fournies par Debian et Ubuntu qui à leur tour sont des frontaux vers useraddet groupadd. Notamment, les commandes Debian et Ubuntu ne prennent en charge que les options de forme longue. Voir: manpages.debian.org/stretch/adduser/adduser.8.en.html
Les commandes sont adduseret addgroup.
Voici un modèle pour Docker que vous pouvez utiliser dans les environnements busybox (alpin) ainsi que dans les environnements basés sur Debian (Ubuntu, etc.):
ENV USER=docker
ENV UID=12345
ENV GID=23456
RUN adduser \
--disabled-password \
--gecos "" \
--home "$(pwd)" \
--ingroup "$USER" \
--no-create-home \
--uid "$UID" \
"$USER"
Notez ce qui suit:
--disabled-password empêche l'invite de mot de passe--gecos "" contourne l'invite "Nom complet" etc. sur les systèmes basés sur Debian--home "$(pwd)"définit le domicile de l'utilisateur sur WORKDIR. Vous ne voudrez peut-être pas cela.--no-create-home empêche la copie de cruft dans le répertoire de /etc/skelLa description d'utilisation de ces applications ne contient pas les indicateurs longs présents dans le code pour adduser et addgroup .
Les indicateurs de forme longue suivants devraient fonctionner à la fois dans les dérivés alpins et Debian:
BusyBox v1.28.4 (2018-05-30 10:45:57 UTC) multi-call binary.
Usage: adduser [OPTIONS] USER [GROUP]
Create new user, or add USER to GROUP
--home DIR Home directory
--gecos GECOS GECOS field
--shell SHELL Login shell
--ingroup GRP Group (by name)
--system Create a system user
--disabled-password Don't assign a password
--no-create-home Don't create home directory
--uid UID User id
Une chose à noter est que s'il --ingroupn'est pas défini, le GID est attribué pour correspondre à l'UID. Si le GID correspondant à l'UID fourni existe déjà, adduser échouera.
BusyBox v1.28.4 (2018-05-30 10:45:57 UTC) multi-call binary.
Usage: addgroup [-g GID] [-S] [USER] GROUP
Add a group or add a user to a group
--gid GID Group id
--system Create a system group
J'ai découvert tout cela en essayant d'écrire ma propre alternative au projet fixuid pour exécuter des conteneurs en tant qu'UID / GID de l'hôte.
Mon script d'assistance de point d'entrée peut être trouvé sur GitHub.
L'intention est d'ajouter ce script comme premier argument ENTRYPOINTauquel Docker devrait déduire l'UID et le GID d'un montage de liaison pertinent.
Une variable d'environnement "TEMPLATE" peut être requise pour déterminer d'où les autorisations doivent être déduites.
(Au moment d'écrire ces lignes, je n'ai pas de documentation pour mon script. Il est toujours sur la liste des choses à faire !!)
USER 405qui est l'utilisateur invité dans Alpine Linux.