web-dev-qa-db-ja.com

Dockerイメージ内のユーザーを非rootユーザーに切り替える

SSH証明書をセットアップするために、ユーザーをTomcat7ユーザーに切り替えようとしています。

su Tomcat7を実行しても、何も起こりません。

whoamisu Tomcat7を実行した後でもルートを返します

more /etc/passwdを実行すると、Tomcat7ユーザーが存在することを明確に示す次の結果が得られます。

root:x:0:0:root:/root:/bin/bash
daemon:x:1:1:daemon:/usr/sbin:/bin/sh
bin:x:2:2:bin:/bin:/bin/sh
sys:x:3:3:sys:/dev:/bin/sh
sync:x:4:65534:sync:/bin:/bin/sync
games:x:5:60:games:/usr/games:/bin/sh
man:x:6:12:man:/var/cache/man:/bin/sh
lp:x:7:7:lp:/var/spool/lpd:/bin/sh
mail:x:8:8:mail:/var/mail:/bin/sh
news:x:9:9:news:/var/spool/news:/bin/sh
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh
proxy:x:13:13:proxy:/bin:/bin/sh
www-data:x:33:33:www-data:/var/www:/bin/sh
backup:x:34:34:backup:/var/backups:/bin/sh
list:x:38:38:Mailing List Manager:/var/list:/bin/sh
irc:x:39:39:ircd:/var/run/ircd:/bin/sh
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh
libuuid:x:100:101::/var/lib/libuuid:/bin/sh
messagebus:x:101:104::/var/run/dbus:/bin/false
colord:x:102:105:colord colour management daemon,,,:/var/lib/colord:/bin/false
saned:x:103:106::/home/saned:/bin/false
Tomcat7:x:104:107::/usr/share/Tomcat7:/bin/false

私が回避しようとしているのは、ハドソンのこのエラーです:

Command "git fetch -t git@________.co.za:_______/_____________.git +refs/heads/*:refs/remotes/Origin/*" returned status code 128: Host key verification failed.

これは私のDockerfileです。既存のhudson warファイルとtarで構成されたイメージを取得し、hudsonは正常に動作します。ユーザーTomcat7には証明書が存在しないため、gitにアクセスできません。

FROM debian:wheezy

# install Java on image
RUN apt-get update
RUN apt-get install -y openjdk-7-jdk Tomcat7

# install hudson on image
RUN rm -rf /var/lib/Tomcat7/webapps/*
ADD ./ROOT.tar.gz /var/lib/Tomcat7/webapps/

# copy hudson config over to image
RUN mkdir /usr/share/Tomcat7/.hudson
ADD ./dothudson.tar.gz /usr/share/Tomcat7/
RUN chown -R Tomcat7:Tomcat7 /usr/share/Tomcat7/

# add ssh certificates
RUN mkdir /root/.ssh
ADD ssh.tar.gz /root/

# install some dependencies
RUN apt-get update
RUN apt-get install --y maven
RUN apt-get install --y git
RUN apt-get install --y Subversion

# background script
ADD run.sh /root/run.sh
RUN chmod +x /root/run.sh

# expose port 8080
EXPOSE 8080


CMD ["/root/run.sh"]

最新バージョンのDocker(Dockerバージョン1.0.0、ビルド63fe64c/1.0.0)を使用していますが、これはDockerのバグですか、それともDockerfileに何か不足していますか?

gitdebiandocker
54
Jan Vladimir Mostert

dockerfilesuを使用しないでください。ただし、DockerfileでUSER命令を使用する必要があります。

Dockerfile ビルドの各段階で、新しいコンテナが作成されるため、ユーザーに加えた変更は次のビルド段階で保持されません。

例えば:

RUN whoami
RUN su test
RUN whoami

これは、新しいコンテナが2番目のwhoamiで生成されるため、ユーザーがtestになるとは決して言いません。出力は両方でルートになります(もちろん、事前にUSERを実行しない限り)。

ただし、次の場合:

RUN whoami
USER test
RUN whoami

rootが表示され、次にtestが表示されます。

または、次のようなSudoを使用して別のユーザーとしてコマンドを実行できます

Sudo -u test whoami

しかし、公式にサポートされている指示を使用する方が良いようです。

77
Marcus Hughes

他の答えへの別のアプローチとして、Dockerfileでのイメージ作成時にユーザーを示す代わりに、コマンドごとに特定のコンテナーのコマンドラインを介して行うことができます。

docker execで、--userを使用して、対話型端末が使用するユーザーアカウントを指定します(コンテナーが実行されている必要があり、ユーザーはコンテナー化システムに存在する必要があります)。

docker exec -it --user [username] [container] bash

https://docs.docker.com/engine/reference/commandline/exec/ を参照してください

20
That Brazilian Guy

次のこともできるはずです。

apt install Sudo

Sudo -i -u Tomcat

次に、Tomcatユーザーになります。使用しているLinuxディストリビューションは明確ではありませんが、これは、たとえばUbuntu 18.04 LTSで機能します。

0
wordsforthewise