डॉकटर कंटेनर में उपयोगकर्ताओं को कैसे जोड़ें?

मेरे पास कुछ प्रक्रियाओं (uwsgi और अजवाइन) के साथ एक डॉकटर कंटेनर है जो अंदर चल रहा है। मैं इन प्रक्रियाओं के लिए एक अजवाइन उपयोगकर्ता और एक uwsgi उपयोगकर्ता बनाना चाहता हूं और साथ ही एक श्रमिक समूह है जो वे दोनों, अनुमति देने के लिए संबंधित होंगे।

मैंने अपने डॉकरफाइल को जोड़ने RUN adduser uwsgiऔर जोड़ने की कोशिश की RUN adduser celery, लेकिन यह समस्या पैदा कर रहा है, क्योंकि ये कमांड इनपुट के लिए संकेत देते हैं (मैंने नीचे दिए गए बिल्ड से प्रतिक्रियाएं पोस्ट की हैं)।

डॉकटर कंटेनर में उपयोगकर्ताओं को जोड़ने का सबसे अच्छा तरीका क्या है ताकि कंटेनर में चलने वाले श्रमिकों के लिए अनुमतियाँ निर्धारित की जा सकें?

मेरी डॉकर छवि को Ubuntu14.04 आधार से बनाया गया है।

जब एड्यूसर कमांड चलाए जाते हैं तो यहां डॉकरफाइल से आउटपुट मिलता है:

Adding user `uwsgi' ...
Adding new group `uwsgi' (1000) ... 
Adding new user `uwsgi' (1000) with group `uwsgi' ... 
Creating home directory `/home/uwsgi' ...
Copying files from `/etc/skel' ... 
[91mEnter new UNIX password: Retype new UNIX password: [0m 
[91mpasswd: Authentication token manipulation error
passwd: password unchanged
[0m 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 563.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 564.
[0m 
Try again? [y/N] 
Changing the user information for uwsgi
Enter the new value, or press ENTER for the default
    Full Name []: 
Room Number []:     Work Phone []:  Home Phone []:  Other []: 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 589.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 590.
[0m 
Is the information correct? [Y/n] 
---> 258f2f2f13df 
Removing intermediate container 59948863162a 
Step 5 : RUN adduser celery 
---> Running in be06f1e20f64 
Adding user `celery' ...
Adding new group `celery' (1001) ... 
Adding new user `celery' (1001) with group `celery' ... 
Creating home directory `/home/celery' ...
Copying files from `/etc/skel' ... 
[91mEnter new UNIX password: Retype new UNIX password: [0m 
[91mpasswd: Authentication token manipulation error
passwd: password unchanged
[0m 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 563.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 564.
[0m 
Try again? [y/N] 
Changing the user information for celery
Enter the new value, or press ENTER for the default
    Full Name []:   Room Number []:     Work Phone []: 
Home Phone []:  Other []: 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 589.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 590.
[0m 
Is the information correct? [Y/n] 

ट्रिक useraddइसके इंटरेक्टिव रैपर की जगह इस्तेमाल करना है adduser। मैं आमतौर पर उपयोगकर्ताओं को बनाता हूं:

RUN useradd -ms /bin/bash newuser

जो उपयोगकर्ता के लिए एक होम डायरेक्टरी बनाता है और यह सुनिश्चित करता है कि बैश डिफ़ॉल्ट शेल है।

फिर आप जोड़ सकते हैं:

USER newuser
WORKDIR /home/newuser

अपने कामचोर के लिए। प्रत्येक आदेश बाद में और साथ ही इंटरैक्टिव सत्र उपयोगकर्ता के रूप में निष्पादित किए जाएंगे newuser:

docker run -t -i image
newuser@131b7ad86360:~$

newuserउपयोगकर्ता कमांड को लागू करने से पहले आपको उन कार्यक्रमों को निष्पादित करने की अनुमति देनी होगी जिन्हें आप चलाने का इरादा रखते हैं।

कंटेनरों के अंदर गैर-विशेषाधिकार प्राप्त उपयोगकर्ताओं का उपयोग करना सुरक्षा कारणों से एक अच्छा विचार है। इसमें कुछ कमियां भी हैं। सबसे महत्वपूर्ण बात, आपकी छवि से छवियों को निकालने वाले लोगों को सुपरयूज़र विशेषाधिकारों के साथ कमांड निष्पादित करने से पहले रूट पर वापस स्विच करना होगा।

Adduser द्वारा इंटरएक्टिव प्रश्नों से बचने के लिए, आप इसे इन मापदंडों के साथ कॉल कर सकते हैं:

RUN adduser --disabled-password --gecos '' newuser

--gecosपैरामीटर में अतिरिक्त जानकारी के सेट करने के लिए प्रयोग किया जाता है। इस मामले में यह सिर्फ खाली है।

बिजीबॉक्स (जैसे अल्पाइन) के साथ सिस्टम पर, का उपयोग करें

RUN adduser -D -g '' newuser

व्‍यस्‍त बॉक्‍स एडूसर देखें

उबंटू

निम्नलिखित पंक्तियों को निम्न में आज़माएँ Dockerfile:

RUN useradd -rm -d /home/ubuntu -s /bin/bash -g root -G sudo -u 1001 ubuntu
USER ubuntu
WORKDIR /home/ubuntu

useraddविकल्प (देखें:) man useradd:

• -r, --systemएक सिस्टम खाता बनाएँ। ^{देखें: सिस्टम खाते बनाने के निहितार्थ}
• -m, --create-homeउपयोगकर्ता के घर निर्देशिका बनाएँ।
• -d, --home-dir HOME_DIRनए खाते की होम डायरेक्टरी।
• -s, --shell SHELLनए खाते का लॉगिन शेल।
• -g, --gid GROUPप्राथमिक समूह का नाम या आईडी।
• -G, --groups GROUPSपूरक समूहों की सूची।
• -u, --uid UIDउपयोगकर्ता आईडी निर्दिष्ट करें। ^{देखें: यह समझना कि डॉक कंटेनर में उड और गीद कैसे काम करते हैं}
• -p, --password PASSWORDनए खाते का एन्क्रिप्टेड पासवर्ड (जैसे ubuntu)।

डिफ़ॉल्ट उपयोगकर्ता का पासवर्ड सेट करना

उपयोगकर्ता पासवर्ड सेट करने के लिए जोड़ने -p "$(openssl passwd -1 ubuntu)"के लिए useraddआदेश।

वैकल्पिक रूप से निम्नलिखित पंक्तियों को अपने साथ जोड़ें Dockerfile:

SHELL ["/bin/bash", "-o", "pipefail", "-c"]
RUN echo 'ubuntu:ubuntu' | chpasswd

पहला शेल निर्देश यह सुनिश्चित करने के लिए है कि इसमें एक पाइप के साथ -o pipefailविकल्प पहले सक्षम RUNहै। और अधिक पढ़ें: Hadolint: अपने Dockerfile Linting ।

Docker में उपयोगकर्ता को जोड़ना और उस उपयोगकर्ता के अंतर्गत अपना ऐप चलाना सुरक्षा के दृष्टिकोण से बहुत अच्छा अभ्यास है। ऐसा करने के लिए मैं नीचे दिए गए चरणों की सिफारिश करूंगा:

FROM node:10-alpine

# Copy source to container
RUN mkdir -p /usr/app/src

# Copy source code
COPY src /usr/app/src
COPY package.json /usr/app
COPY package-lock.json /usr/app

WORKDIR /usr/app

# Running npm install for production purpose will not run dev dependencies.
RUN npm install -only=production    

# Create a user group 'xyzgroup'
RUN addgroup -S xyzgroup

# Create a user 'appuser' under 'xyzgroup'
RUN adduser -S -D -h /usr/app/src appuser xyzgroup

# Chown all the files to the app user.
RUN chown -R appuser:xyzgroup /usr/app

# Switch to 'appuser'
USER appuser

# Open the mapped port
EXPOSE 3000

# Start the process
CMD ["npm", "start"]

उपर्युक्त चरण NodeJS प्रोजेक्ट फ़ाइलों की प्रतिलिपि बनाने का एक पूर्ण उदाहरण है, एक उपयोगकर्ता समूह और उपयोगकर्ता बनाना, प्रोजेक्ट फ़ोल्डर के लिए उपयोगकर्ता को अनुमति प्रदान करना, नए बनाए गए उपयोगकर्ता पर स्विच करना और उस उपयोगकर्ता के अंतर्गत ऐप चलाना।

आप खुले स्रोत डॉकरीफाइल का अनुकरण कर सकते हैं, उदाहरण के लिए:

नोड: नोड 12-जीथब

RUN groupadd --gid 1000 node \
    && useradd --uid 1000 --gid node --shell /bin/bash --create-home node

superset: superset-github

RUN useradd --user-group --create-home --no-log-init --shell /bin/bash 
    superset

मुझे लगता है कि खुले स्रोत का पालन करना एक अच्छा तरीका है।

हर किसी का अपना पसंदीदा है, और यह मेरा है:

RUN useradd --user-group --system --create-home --no-log-init app
USER app

संदर्भ: आदमी useradd

RUNलाइन उपयोगकर्ता और समूह जोड़ना होगा app:

root@ef3e54b60048:/# id app
uid=999(app) gid=999(app) groups=999(app)

appयदि आधार छवि के रूप में छवि का पुन: उपयोग किया जाना है तो उससे अधिक विशिष्ट नाम का उपयोग करें । एक तरफ के रूप में, --shell /bin/bashयदि आपको वास्तव में ज़रूरत है तो शामिल करें ।

आंशिक क्रेडिट: रेयान एम द्वारा उत्तर

वैकल्पिक रूप से आप ऐसा कर सकते हैं।

RUN addgroup demo && adduser -DH -G demo demo

पहला कमांड डेमो नामक समूह बनाता है । दूसरा कमांड डेमो उपयोगकर्ता बनाता है और पहले से बनाए गए डेमो में उसे जोड़ता है ग्रुप में ।

झंडे के लिए खड़ा है:

-G Group
-D Don't assign password
-H Don't create home directory

इस लाइन को अपने डॉकरफाइल में जोड़ें (आप इस तरह से कोई भी लिनक्स कमांड चला सकते हैं)

RUN useradd -ms /bin/bash yourNewUserName