通常,docker容器使用root用户运行。我想使用一个不同的用户,这是没有问题使用docker的user指令。但是这个用户应该能够在容器内使用sudo。该命令缺失。
下面是一个简单的Dockerfile:
FROM ubuntu:12.04
RUN useradd docker && echo "docker:docker" | chpasswd
RUN mkdir -p /home/docker && chown -R docker:docker /home/docker
USER docker
CMD /bin/bash
运行这个容器,我以用户“docker”登录。当我尝试使用sudo时,没有找到该命令。所以我尝试在我的Dockerfile中使用sudo包安装
RUN apt-get install sudo
这将导致无法定位包sudo
当前回答
这可能不适用于所有映像,但有些映像已经包含根用户,例如jupyterhub/singleuser映像。对于这个图像,它很简单:
USER root
RUN sudo apt-get update
其他回答
如果您有一个以root身份运行的容器,该容器运行一个需要访问sudo命令的脚本(您不能更改),您可以简单地在您的$PATH中创建一个新的sudo脚本,该脚本调用传递的命令。
在Dockerfile中:
RUN if type sudo 2>/dev/null; then \
echo "The sudo command already exists... Skipping."; \
else \
echo -e "#!/bin/sh\n\${@}" > /usr/sbin/sudo; \
chmod +x /usr/sbin/sudo; \
fi
当容器中sudo和apt-get都不可用时,还可以使用命令以根用户身份跳转到正在运行的容器
docker exec -u root -t -i container_id /bin/bash
Centos7的Dockerfile示例。在本例中,我们添加了具有sudo权限的prod_user。
FROM centos:7
RUN yum -y update && yum clean all
RUN yum -y install openssh-server python3 sudo
RUN adduser -m prod_user && \
echo "MyPass*49?" | passwd prod_user --stdin && \
usermod -aG wheel prod_user && \
mkdir /home/prod_user/.ssh && \
chown prod_user:prod_user -R /home/prod_user/ && \
chmod 700 /home/prod_user/.ssh
RUN echo "prod_user ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
echo "%wheel ALL=(ALL) ALL" >> /etc/sudoers
RUN echo "PasswordAuthentication yes" >> /etc/ssh/sshd_config
RUN systemctl enable sshd.service
VOLUME [ "/sys/fs/cgroup" ]
ENTRYPOINT ["/usr/sbin/init"]
主要思想是,您需要根据容器创建一个根用户。
主要命令:
RUN echo "bot:bot" | chpasswd
RUN adduser bot sudo
第一个将字面值bot:bot发送给chpasswd, chpasswd创建了用户bot,密码为bot, chpasswd做的是:
The chpasswd command reads a list of user name and password pairs from standard input and uses this information to update a group of existing users. Each line is of the format:
user_name:password
By default the supplied password must be in clear-text, and is encrypted by chpasswd. Also the password age will be updated, if present.
我假设第二个命令将用户bot添加为sudo。
完整的docker容器来玩:
FROM continuumio/miniconda3
# FROM --platform=linux/amd64 continuumio/miniconda3
MAINTAINER Brando Miranda "me@gmail.com"
RUN apt-get update \
&& apt-get install -y --no-install-recommends \
ssh \
git \
m4 \
libgmp-dev \
opam \
wget \
ca-certificates \
rsync \
strace \
gcc \
rlwrap \
sudo
# https://github.com/giampaolo/psutil/pull/2103
RUN useradd -m bot
# format for chpasswd user_name:password
RUN echo "bot:bot" | chpasswd
RUN adduser bot sudo
WORKDIR /home/bot
USER bot
#CMD /bin/bash
对于任何已经运行的容器有此问题的人,并且他们不一定想要重建,下面的命令连接到具有根权限的运行容器:
docker exec -ti -u root container_name bash
你也可以使用它的ID连接,而不是它的名字,通过查找它:
docker ps -l
为了保存您的更改,以便下次启动容器(或docker-compose集群)时它们仍然存在,请注意,如果从头开始重建,这些更改将不会重复:
docker commit container_id image_name
回滚到以前的图像版本(警告:这将删除历史记录而不是追加到最后,所以要保持对当前图像的引用,首先使用可选步骤标记它):
docker history image_name
docker tag latest_image_id my_descriptive_tag_name # optional
docker tag desired_history_image_id image_name
启动一个未运行的容器并以root身份连接:
docker run -ti -u root --entrypoint=/bin/bash image_id_or_name -s
从正在运行的容器中复制:
docker cp <containerId>:/file/path/within/container /host/path/target
导出一份镜像文件。
docker save container | gzip > /dir/file.tar.gz
你可以使用以下方法将其恢复到另一个Docker安装:
gzcat /dir/file.tar.gz | docker load
它的速度要快得多,但不压缩需要更多的空间,使用:
docker save container | dir/file.tar
And:
cat dir/file.tar | docker load
