Comment faire pour exécuter le panneau de l'image comme un utilisateur non-root?

Je suis nouveau sur docker. Quand je lance un docker images comme ubuntu, image en utilisant la commande,

sudo docker run -i -t ubuntu:14.04

Par défaut, c'est d'entrer dans le conteneur racine de ce genre.
Comment faire pour exécuter le panneau de l'image comme un utilisateur non-root?

J'ai cherché à ce sujet, mais je ne pouvais pas obtenir tout de la façon de démarrer un menu fixe de l'image en tant que non racine de l'utilisateur que je suis complètement d'un starter pour cette rubrique.

Ce serait génial si quelqu'un explique avec un exemple de la façon d'exécuter un menu fixe de l'image en tant que non racine de l'utilisateur.

OriginalL'auteur Stranger | 2015-04-27

  1. 17

    la docker run commande a la -u paramètre pour vous permettre de spécifier un nom d'utilisateur différent. Dans votre cas, et en supposant que vous avez un nom d'utilisateur foo dans votre panneau de l'image, vous pouvez exécuter:

    sudo docker run -i -t -u foo ubuntu:14.04 /bin/bash

    REMARQUE: La -u paramètre est l'équivalent de la USER instruction pour Dockerfile.

    entendez-vous d'ajouter l'utilisateur à la panneau groupe?
    Avons-nous besoin de cet utilisateur(royaume-uni) à l'intérieur du conteneur docker que nous sommes en cours d'exécution? Sinon, comment l'image sera d'identifier l'utilisateur? Et comme Adrian demandé, êtes-vous référant à docker groupe?
    Aussi, il jette l'erreur, FATA[0000] Error response from daemon: Cannot start container acbd05873a7a22fdd538c931f9e6ee54184ff5f3ac6c281d732bbde1823cb731: [8] System error: Unable to find user uk
    oui, vous devez déjà avoir créé l'utilisateur dans l'image.
    S'il vous plaît, NE PAS ajouter votre utilisateur au menu fixe du groupe. En fait, vous ne devriez jamais, jamais ajouter n'importe quel utilisateur de l'docker groupe, sauf des cas très spécifiques (que je ne peux pas penser encore). Le docker groupe est à la racine équivalent. Une fois dans le menu fixe du groupe, l'utilisateur est en mesure de réaliser une élévation de privilèges pour gratuit. Ceci est documenté sur internet, et il y a même un avertissement dans le Panneau de documentation.

    OriginalL'auteur Thomasleveil

  2. 0

    Ce n'est certes hacky, mais bon pour ceux peu rapide de conteneurs que vous commencent tout juste à tester quelque chose rapidement:

    #!/bin/bash

set -eu

NAME=$1
IMG=$2

#UID=$(id -u)
USER=$(id -un)
GID=$(id -g)
GROUP=$(id -gn)

# --privileged needed for dmidecode
docker run --privileged -d -v /tmp:/tmp -v "/home/$USER:/home/$USER" -h "$NAME" --name "$NAME" "$IMG" init

docker exec "$NAME" /bin/bash -c "groupadd -g $GID $GROUP && useradd -M -s /bin/bash -g $GID -u $UID $USER"

    Version complète du script que j'utilise ici:

    https://github.com/ericcurtin/staging/blob/master/d-run

    OriginalL'auteur ericcurtin

  3. -2

    Il n'est pas conseillé pour permettre l'exécution de docker sans sudo Docker a pas d'audit ou à l'exploitation forestière construite dans, alors que sudo n'.
    Si vous voulez donner panneau d'accès pour les utilisateurs non-root Red Hat recommande la configuration de sudo.
    Ajouter une entrée semblable à la suivante à /etc/sudoers.

    dwalsh        ALL=(ALL)       NOPASSWD: /usr/bin/docker

    Maintenant, créer un alias dans ~/.bashrc pour exécuter le panneau de commande:

    alias docker="sudo /usr/bin/docker"

    Maintenant lorsque l'utilisateur exécute le panneau de commande en tant que root, il sera permis et obtenir une journalisation.

    docker run -ti --privileged -v /:/host fedora chroot /host

    Regarder le journal ou /var/log/messages.

    journalctl -b | grep docker.*privileged
Aug 04 09:02:56 dhcp-10-19-62-196.boston.devel.redhat.com sudo[23422]:   dwalsh : TTY=pts/3 ; PWD=/home/dwalsh/docker/src/github.com/docker/docker ; USER=root ; COMMAND=/usr/bin/docker run -ti --privileged -v /:/host fedora chroot /host
    L'utilisateur demande à propos de l'exécution d'un utilisateur non-root à l'INTÉRIEUR du conteneur, alors que vous parlez de l'exécution comme un utilisateur non-root à l'extérieur du récipient. Questions très différentes.

    OriginalL'auteur chanchal