51CTO首页
AI.x社区
博客
学堂
精品班
直播训练营
企业培训
鸿蒙开发者社区
WOT技术大会
AIGC创新中国行
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术2024年软考PMP项目管理软考资讯
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO题库小程序
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
账号设置 退出

理解 Docker 容器中 UID 和 GID 的工作原理

云计算 云原生
如果容器内部的进程正在执行的已知 uid,那么简单地限制对主机系统的访问,使容器中的 uid 仅具有有限访问权限就可以了。

理解用户名、组名、用户ID(UID)和组ID(GID)在容器内运行的进程与主机系统之间的映射是构建安全系统的重要一环。如果没有提供其他选项,容器中的进程将以root用户身份执行(除非在Dockerfile中提供了不同的UID)。本文将解释这一工作原理,如何正确授予权限,并提供示例加以说明。

逐步分析uid/gid安全性

首先,让我们回顾一下uid和gid是如何实现的。Linux内核负责管理uid和gid空间,使用内核级系统调用来确定是否应该授予请求的特权。例如,当一个进程尝试写入文件时,内核会检查创建该进程的uid和gid,以确定它是否具有足够的特权来修改文件。这里不使用用户名,而是使用uid。

在服务器上运行 Docker 容器时,仍然只有一个内核。容器化带来的巨大价值之一是所有这些独立的进程可以继续共享一个内核。这意味着即使在运行 Docker 容器的服务器上,整个 uid 和 gid 的世界仍由一个单一内核控制。

因此,在不同的容器中不能使用相同的 uid 分配给不同的用户。这是因为在常见的 Linux 工具中显示的用户名(和组名)并不是内核的一部分,而是由外部工具(如 /etc/passwd、LDAP、Kerberos 等)管理。因此,你可能会看到不同的用户名,但是即使在不同的容器中,对于相同的 uid/gid,你也不能拥有不同的权限。这一点一开始可能会让人感到相当困惑,所以让我们通过几个例子来说明一下:

简单的Docker运行

我将首先以普通用户(marc)的身份登录到一个属于docker组的服务器上。这样我就可以在不使用sudo命令的情况下启动docker容器。然后,从容器外部,让我们来看看这个过程是如何呈现的。

marc@server:~$ docker run -d ubuntu:latest sleep infinity
92c57a8a4eda60678f049b906f99053cbe3bf68a7261f118e411dee173484d10
marc@server:~$ ps aux | grep sleep
root 15638 0.1 0.0 4380 808 ? Ss 19:49 0:00 sleep infinity

尽管我从未输入过sudo,也不是root用户,但我执行的sleep命令以root用户身份启动并具有root权限。我如何知道它具有root权限?容器内的root是否等同于容器外的root?是的,因为正如我提到的,有一个单一的内核和一个共享的uid和gid池。由于容器外显示的用户名是“root”,我可以确定容器内的进程是以具有uid = 0的用户启动的。

带有定义用户的Dockerfile

当我在 Dockerfile 中创建一个不同的用户并以该用户身份启动命令时会发生什么?为了简化这个例子,我这里没有指定 gid,但相同的概念也适用于组 id。

首先,我正在以用户名为“marc”的用户身份运行这些命令,该用户的用户ID为1001。

marc@server:~$ echo $UID
1001

Dockerfile文件:

FROM ubuntu:latest
RUN useradd -r -u 1001 -g appuser appuser
USER appuser
ENTRYPOINT [“sleep”, “infinity”]

构建:

marc@server:~$ docker build -t test .
Sending build context to Docker daemon 14.34 kB
Step 1/4 : FROM ubuntu:latest
 — -> f49eec89601e
Step 2/4 : RUN useradd -r -u 1001 appuser
 — -> Running in 8c4c0a442ace
 — -> 6a81547f335e
Removing intermediate container 8c4c0a442ace
Step 3/4 : USER appuser
 — -> Running in acd9e30b4aba
 — -> fc1b765e227f
Removing intermediate container acd9e30b4aba
Step 4/4 : ENTRYPOINT sleep infinity
 — -> Running in a5710a32a8ed
 — -> fd1e2ab0fb75
Removing intermediate container a5710a32a8ed
Successfully built fd1e2ab0fb75
marc@server:~$ docker run -d test
8ad0cd43592e6c4314775392fb3149015adc25deb22e5e5ea07203ff53038073
marc@server:~$ ps aux | grep sleep
marc 16507 0.3 0.0 4380 668 ? Ss 20:02 0:00 sleep infinity
marc@server:~$ docker exec -it 8ad0 /bin/bash
appuser@8ad0cd43592e:/$ ps aux | grep sleep
appuser 1 0.0 0.0 4380 668 ? Ss 20:02 0:00 sleep infinity

这里到底发生了什么,这意味着什么?我构建了一个 Docker 镜像,其中有一个名为“appuser”的用户,该用户的 uid 为 1001。在我的测试服务器上,我使用的帐户名为“marc”,uid 也是 1001。当我启动容器时,sleep 命令以 appuser 的身份执行,因为 Dockerfile 包含了“USER appuser”这一行。但实际上这并不是以 appuser 的身份运行,而是以 Docker 镜像中被识别为 appuser 的用户的 uid 运行。

当我检查容器外运行的进程时,我发现它映射到用户“marc”,但在容器内部,它映射到用户“appuser”。这两个用户名只是显示它们的执行上下文所知道的映射到1001的用户名。

这并不是非常重要。但重要的是要知道,在容器内部,用户“appuser”获得了来自容器外部用户“marc”的权限和特权。在Linux主机上授予用户marc或uid 1001的权限也将授予容器内的appuser这些权限。

如何控制容器的访问权限

另一种选择是在运行 Docker 容器时指定用户名或用户ID,以及组名或组ID。

再次使用上面的初始示例。

marc@server:~$ docker run -d --user 1001 ubuntu:latest sleep infinity
84f436065c90ac5f59a2256e8a27237cf8d7849d18e39e5370c36f9554254e2b
marc@server$ ps aux | grep sleep
marc     17058 0.1 0.0 4380 664 ? Ss 21:23 0:00 sleep infinity

我在这里做了什么?我创建了容器以1001用户身份启动。因此,当我执行诸如ps或top(或大多数监控工具)之类的命令时,进程映射到“marc”用户。

有趣的是,当我进入该容器时,你会发现1001用户在/etc/passwd文件中没有条目,并在容器的bash提示符中显示为“I have no name!”。

marc@server:~$ docker exec -it 84f43 /bin/bash
I have no name!@84f436065c90:/$

重要的是要注意,在创建容器时指定用户标志也会覆盖 Dockerfile 中的值。还记得第二个例子吗?那时我使用了一个 Dockerfile,其中的 uid 映射到本地主机上的不同用户名。当我们在命令行上使用用户标志来启动一个执行“sleep infinity”进程的容器时,会发生什么呢?

marc@server:$ docker run -d test
489a236261a0620e287e434ed1b15503c844648544694e538264e69d534d0d65
marc@server:~$ ps aux | grep sleep
marc     17689 0.2 0.0 4380 680 ? Ss 21:28 0:00 sleep infinity
marc@server:~$ docker run --user 0 -d test
ac27849fcbce066bad37190b5bf6a46cf526f56d889af61e7a02c3726438fa7a
marc@server:~$ ps aux | grep sleep
marc     17689 0.0 0.0 4380 680 ? Ss 21:28 0:00 sleep infinity
root     17783 0.3 0.0 4380 668 ? Ss 21:28 0:00 sleep infinity

在上面的最后一个示例中,您可以看到我最终得到了两个运行睡眠进程的容器,一个是“marc”,另一个是“root”。这是因为第二个命令通过在命令行上传递--user标志来更改了用户ID。

总结

现在我们已经探讨了这一点,可以理解以有限权限运行容器的方式都利用了主机的用户系统:

  • 如果容器内部的进程正在执行的已知 uid,那么简单地限制对主机系统的访问,使容器中的 uid 仅具有有限访问权限就可以了。
  • 更好的解决方案是使用--user以已知 uid 启动容器(也可以使用用户名,但请记住这只是提供主机用户名系统中的 uid 的一种更友好的方式),然后限制主机上您决定容器将以其运行的 uid 的访问权限。
  • 由于容器到主机的 uid 和用户名(以及 gid 和组名)的映射,指定容器化进程运行的用户可以使该进程在容器内部和外部看起来像是由不同的用户拥有。
责任编辑:武晓燕 来源: 云原生运维圈
DockerUIDGID
相关推荐
理解 HTTPS 工作原理
HTTPS,也称作HTTPoverTLS。TLS的前身是SSL,TLS1.0通常被标示为SSL3.1,TLS1.1为SSL3.2,TLS1.2为SSL3.3。本文着重描述TLS协议的1.2版本。

2019-08-20 14:01:22

HTTPSSSL协议
谈谈你对Netty,Pipeline工作原理理解
每个Context中又会包含一个ChannelHandler,我们通过addLast()方法往Pipeline中添加的对象,并且Handler的添加顺序会影响代码的执行顺序。而这些Handler本质上都是实现编码和解码的功能,不管是编码器还是解码器都必须实现ChannelHandler接口。

2022-09-06 11:13:16

接口PipelineHandler
理解 Docker 容器退出码
本文列出了最常见的退出码,来回答两个重要问题。来看一下吧。

2022-07-29 10:01:50

Docker退出码
Docker进阶】从五方面深入理解Docker Volume 工作原理
本文主要介绍了DockerVolume的作用机制,是Docker入门教程的延伸,作者通过从数据的共享、数据容器、备份、权限以及删除Volumes五方面深入介绍了Volumes的工作原理。

2015-01-06 15:25:12

DockerDocker Volu数据容器
Servlet容器工作原理深入讲解
本文向您介绍Servlet容器的工作原理,并对理解Servlet原理起重要做用的javx.servlet.Servlet接口做详细讲解。

2009-07-06 16:16:33

Servlet容器工作
Docker镜像Docker容器关系?
毫无疑问,Docker成了近些年来火热,甚至具有颠覆性的技术之一。国际上,所有泛云计算相关的公司,几乎都在某种程度上宣布支持并集成Docker。在2014年6月的DockerCon中,很多公司都分享了他们自己如何和Docker集成的故事。

2019-07-16 14:44:52

DockerMySQL操作系统
深入理解Java内存工作原理
在Java中,JVM(Java虚拟机)负责自动管理内存,用于存储变量、类、字段等等。JVM将内存划分为两个区域,分别是栈(Stack)和堆(Heap)。

2023-09-19 22:47:39

Java内存
10张图带你深入理解Docker容器镜像
这篇文章希望能够帮助读者深入理解Docker的命令,还有容器(container)和镜像(image)之间的区别,并深入探讨容器和运行中的容器之间的区别。

2019-07-24 08:49:36

Docker容器镜像
说说你对Redux理解?其工作原理
React是用于构建用户界面的,帮助我们解决渲染DOM的过程,而在整个应用中会存在很多个组件,每个组件的state是由自身进行管理,包括组件定义自身的state、组件之间的通信通过props传递、使用Context实现数据共享

2021-07-16 07:57:34

ReduxDOM组件
无忧之道:Docker容器备份、恢复迁移
所谓的容器,就是那些创建自Docker镜像的软件层,它包含了独立的Linux文件系统和开箱即用的应用程序。如果我们有一个在机器中运行着的Docker容器,并且想要备份这些容器以便今后使用,或者想要迁移这些容器,那么,本教程将帮助你掌握在Linux操作系统中备份、恢复和迁移Docker容器的方法。

2015-08-26 15:11:41

Docker容器备份Docker容器迁移
容器存储:闪存、HCI软件定义Docker
我们发现大型存储供应商都有针对其产品的DockerVolumePlugins,有些供应商正在构建容器存储管理平台。

2018-07-24 08:56:45

容器存储闪存
PHP ereg_replace()函数工作原理解
PHPeregreplace()函数的函数原型为stringeregreplace(string$pattern,string$replacement,string$string)。我们将在文章中具体介绍它的相关用法。

2009-11-30 17:30:47

PHP ereg_re
五张图带你搞懂容器网络工作原理
现在是时候解决容器网络问题了。或者更准确地说,单主机容器网络问题。

2022-01-05 14:30:44

容器Linux网络
Struts framework工作原理组件
本文介绍的是Strutsframework的工作原理和组件,介绍的组件有ActionServlet,ActionClasses,ActionMapping(此处包括ActionForward),ActionFromBean。希望对你有帮助,一起来看。

2011-07-01 11:16:14

Struts
一文带你彻底理解Spring WebFlux工作原理
这里的WebHttpHandlerBuilder.applicationContext(this.applicationContext).build()代码就是用来构建HttpWebHandlerAdapter对象。

2022-05-11 07:38:45

SpringWebFlux
十个问题理解Linux epoll工作原理
epoll是linux特有的一个IO事件通知机制。很久以来对epoll如何能够高效处理数以百万记的文件描述符很有兴趣。近期学习、研究了epoll源码,在这个过程中关于epoll数据结构和作者的实现思路产生出不少疑惑,在此总结为了10个问题并逐个加以解答和分析。

2021-06-03 18:30:27

Linux epoll IO
理解 Go 调度器并探索其工作原理
Goroutines比实际的线程要便宜得多,甚至每秒可以调度数百万的goroutines。但Go是如何实现这一令人难以置信的壮举的呢?它是如何提供这种能力的?让我们看看Golang调度器在背后是如何工作的。

2023-10-25 12:51:28

Go调度器
如何在Linux备份、恢复迁移Docker容器
本文将介绍如何快速地对Docker容器进行快捷备份、恢复和迁移,适用于各个可以成功运行Docker的操作系统平台。

2015-08-07 10:10:18

LinuxDocker容器
Linux容器技术原理使用
一个物理机器需要虚拟化出多个环境或者容器。通过提供一种创建和进入容器的方式,操作系统让应用程序就像在独立的机器上运行一样,但又能共享很多底层的资源。

2020-09-28 15:00:19

Linux容器虚拟化
原理」AB测试-详细过程原理解
AB测试最核心的原理,就四个字:假设检验。检验我们提出的假设是否正确。对应到AB测试中,就是检验实验组&对照组,指标是否有显著差异。

2021-04-13 07:58:36

测试假设检验
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服