Docker 之 资源
Docker 资源隔离技术涉及linux八个命名空间的使用
同时docker还提供了一些选项让我们能够对mem, cpu, devices 进行分配。
怎么判断一个镜像的默认用户呢?
- docker run --rm --entrypoint “” busybox:latest whoami
- docker run --rm --entrypoint “” busybox:latest id
whoani 和 id 都是linux自带的命令, 所以我们放心使用。
为什么要确定镜像的默认user, 请看下图?
如果一个镜像的默认用户存在过高权限,会存在黑客攻击的威胁,那么怎么避免折中情况呢, 当我们创建运行容器时可以指定容器的用户。
-
查看镜像中所支持的用户
docker run --rm busybox:latest awk -F: ‘$0=$1’ /etc/passwd
-
设置容器运行时用户
docker run -u nobody --rm busybox:latest id
有些人可能会问,为什么使用默认的root 用户可能会存在安全隐患,那是因为Docker 和 宿主机共用了user命名空间。下面分享一个例子来证明:
- echo “e=mc^2” > garbage
- chmod 600 garbage
- sudo chown root:root garbage
- docker run --rm -u nobody -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
- docker run --rm -v “$(pwd)”/garbage:/test/garbage ubunut:latest cat /test/garbage
从上述例子中我们可以看到,使用nobody 用户访问宿主机中的测试文件提示权限不足,但使用root用户则可以访问。
值得注意的是无论是容器还是宿主机的root 用户user id 都为 0.
为了更好的控制用户和资源挂载,这里推荐使用user id: user group的方式来设置容器的用户访问, 例子如下:
docker run -u 2000:2000 ubuntu:latest echo “hello world”