Docker用户身份登录和管理员权限

最新推荐文章于 2026-06-12 14:26:11 发布
原创 最新推荐文章于 2026-06-12 14:26:11 发布 · 7.1k 阅读 · 13 ·
本内容遵循CC 4.0 BY-SA版权协议
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
标签
#docker #深度学习
本文讨论了为何要在Docker容器中以非root用户启动,详细介绍了如何通过参数设置实现,并提供了修改Dockerfile以允许在容器内通过sudo获取管理员权限的方法。此外,还分享了如何在容器中映射宿主机的用户组和密码,以便在容器内以管理员权限启动服务如SSH。

Docker用户身份登录和管理员权限

更多docker的相关命令请戳我的个人网站:https://www.yolomax.com/lab/skills/docker/

以非root用户启动容器

  • 为什么要用非root用户启动容器

    默认情况下,容器中的进程以 root 用户权限运行,并且这个 root 用户和宿主机中的 root 是同一个用户。所以大家直接启动容器,并在容器内部跑程序时,你在宿主机上用top等命令查看进程时,以及用nvidia-smi查看显卡使用时,显示的都是root用户在运行。

    这样会带来几个问题。1. 你在容器中保存的文件的拥有者并不是你,而是root用户,当你的容器被销毁后,你在宿主机上是没有权限对这些文件进行操作的。2. 对于其他用户来说,他人无法通过nvidia-smi查看显卡是谁在使用,因为通过进程ID查到的是root用户在跑程序。这不方便同事之间进行显卡利用的沟通,也不方便管理员监管。当部分进程有问题时,管理员不知道找谁。

  • 怎么以非root用户启动容器。

    docker run --user $(id -u ${USER}):$(id -g ${USER})  <其他参数>

    通过 --user $(id -u ${USER}):$(id -g ${USER}) 的参数可以指定以当前宿主机用户的身份启动容器。–-user是用来指定docker容器中用户的id的,$(id -u ${USER}):$(id -g ${USER}) 是自动解析id命令返回的uid和组id,这样就不用自己去查询id了。

    所以相比于之间大家使用docker,唯一的改变就是在启动容器的时候加上--user $(id -u ${USER}):$(id -g ${USER})这一段话就可以了。

  • 如何以非root身份启动容器,但是能在容器中获得root权限。

    要实现这个功能,需要两步,一步是修改dockerfile文件,另一步是在启动容器时添加一段命令。

    1. 修改dockerfile

      修改的目标是安装sudo包和给某个你所在的组添加管理员权限。这样你就能在容器中使用sudo获得管理员权限。在介绍完修改命令后我会给出一个完整的dockerfile帮助大家理解。

      1.1 第一段命令

      apt-get update &&  apt-get install sudo

      可见这一段话的意思是安装sudo命令的,以方便你在获得管理员权限后能通过sudo操作。当然,如果你的当前镜像已经安装了sudo命令,可以不执行这一段话。可以通过在基础镜像开启的容器中执行sudo操作来试试自否有安装sudo命令。

      1.2. 第二段命令

      cp /etc/sudoers /etc/sudoers.new && \
echo "%docker ALL=(ALL:ALL) ALL" >> /etc/sudoers.new && \
visudo -c -f /etc/sudoers.new && \
cp /etc/sudoers.new /etc/sudoers && \
rm /etc/sudoers.new

      /etc/sudoers这个文件是管理sudo权限的,从名字就可以看出来。这一段命令的意思是给docker组内的所有成员添加管理员权限,如果你不是在docker组里,可以换成别的你在的组,将组名替换第二行的docker这个单词就行了。

      加上这两段话后就可以构建镜像并启动容器了。

      dockerfile的例子 : https://github.com/yolomax/docker/blob/pytorch1.7.0/pytorch

    2. 启动容器时添加的命令

      docker run --user $(id -u ${USER}):$(id -g ${USER}) -v /etc/passwd:/etc/passwd:ro -v /etc/group:/etc/group:ro -v /etc/shadow:/etc/shadow:ro  <其他参数>

      这一段参数的意思是将宿主机上的用户组以及密码以只读的形式全部挂在到容器中。

      为什么要做这个映射呢。在第一部修改dockerfile时,我们已经给容器中的某个用户组添加了管理员权限(比如我上面命令中的docker组)。但是直接启动容器时是没有组和用户的信息的,所以你要把宿主机上的组合用户的信息映射到容器中。

    3. 下面我讲一个在容器中以管理员权限开启ssh服务的例子

      这样我就可以在容器中开启ssh服务,可以远程登录此容器,也可让本机的pycharm通过ssh获得容器中的python解释器。

      在容器中我可以执行 sudo /etc/init.d/ssh start

      输完命令后系统会让你输入密码,因为我们已经将宿主机上的用户和密码都映射进来了,所以这里输入的密码就是你宿主机上的密码

Docker: USER 指定当前用户
Allan_shore_ma的博客
11-15 1万+
Docker: USER 指定当前用户 格式:USER <用户名> USER 指令 WORKDIR 相似,都是改变环境状态并影响以后的层。WORKDIR 是改变工作目录,USER 则是改变之后层的执行 RUN, CMD 以及 ENTRYPOINT 这类命令的身份。 一、Docker 用户设置 当然, WORKDIR 一样,USER 只是帮助你切换到指定用户而已,这个用户必须是事先建...
【零基础入门DockerDockerfile中的USER指令以及dockerfile命令详解
共同学习、强我国家
12-01 6821
WORKDIR 为接下来的Dockerfile指令指定当前工作目录,可多次使用,如果使用的是相对路径,则相对的是上一个工作目录,类似shell中的cd命令。COPY 将主机的文件复制到镜像内,如果目的位置不存在,Docker会自动创建所有需要的目录结构,但是它只是单纯的复制,并不会去做文件提取解压工作COPY ... COPY ["",... ""](路径包含空格的必须使用这种格式)注意:需要复制的目录一定要放在Dockerfile文件的同级目录下。
别再乱配iptables了!Docker安全加固必知的DOCKER-USER链实战(附完整命令)
weixin_30352191的博客
04-22 154
本文深入解析Docker网络安全中的DOCKER-USER链,揭示为何传统iptables规则对Docker容器无效,并提供实战命令加固Docker安全。通过IP白名单、端口精细化控制等方案,帮助运维人员有效防护容器网络,避免常见配置误区。
Docker系列(三) Docker run 参数详情
海鸥~
07-08 6153
docker run 的参数详情 $ sudo docker run Usage: docker run [OPTIONS] IMAGE [COMMAND] [ARG…] Run a command in a new container 一、参数 -a, --attach=[] Attach to stdin, stdout or stderr. -c, --cpu-shares=0 CPU shares (relative weight) -----.
docker exec --user用法示例:指定在容器中以哪个用户身份执行命令
学亮编程手记
10-28 2187
命令用于在已经运行的容器中执行命令。通过--user-u参数,你可以指定在容器中以哪个用户身份执行命令。这在你需要以非 root 用户身份执行命令时非常有用。下面是一些使用。
以宿主机普通用户 id 进入 docker 容器的方法
jucat的博客
10-28 2651
以宿主机用户 id 进入到 docker 容器
linux-修改docker容器下的oracle_11g管理员用户名密码&&对oracle用户进行授权处理-亲测有效
weixin_47055922的博客
10-13 4725
一、修改oracle_11g管理员用户名密码 1、查看docker容器开启的oracle进程id命令:docker ps [root@localhost ~]# docker ps CONTAINER ID IMAGE COMMAND CREATED STATUS PORTS ...
一篇搞定:轻松重置 Docker 中 Oracle 的 system 用户密码
qq_44709900的博客
07-29 751
通过利用 Docker 容器的内部权限 Oracle 的SYSDBA角色,重置关键用户密码是一个简单而直接的过程。这个技巧是每一位使用 Docker 管理数据库的开发者或 DBA 都应该掌握的实用技能,它能确保您在遇到密码遗忘问题时,也能从容不迫地恢复对数据库的访问。
Docker 配置镜像加速
telescopewang的博客
04-21 270
【代码】Docker 配置镜像加速。
CloudDM 3.2.0 发布,统一登录入口账号模型
最新发布
Kami‘s home
06-12 225
CloudDM 是一款免费且开源的团队化数据库管理工具,提供统一 Web 数据库访问、权限控制、数据脱敏、SQL 审核、流程协同数据库 CI/CD 等能力。
什么是Keycloak?怎么样使用Keycloak实现登录权限验证?
m0_63144319的博客
05-14 7713
在下面的配置文件中需要主要需要配置的是realm(你创建的realm的名称),resource(Clients 的id名称), credentials secret(你的Clients的密钥),其他都是固定的,可以照搬我下面的配置文件。根据网上博主的分享官方的文档,上述操作是可以实现的,但是在我创建之后发现报错,只能访问公共页面,登录之后admin连user.html都不能访问,报错就是权限的问题。来访问admin页面,并验证权限,现在是user角色登录,所以登录权限不够(报403错误,权限不足)
docker-gitlab用户权限管理:从项目访问到管理员角色配置
gitblog_00483的博客
10-31 461
在团队协作中,如何确保敏感代码不被未授权访问?如何让新成员快速获得项目权限?如何避免离职员工带走核心代码?本文将系统讲解docker-gitlab环境下的用户权限管理方案,从基础的项目访问控制到复杂的管理员角色配置,帮助团队构建安全可控的开发环境。 ## 管理员账户初始化 首次部署docker-gitlab后,系统会自动创建`root`用户(超级管理员)。通过浏览器访问GitLab实例(默认地...
Docker Harbor | 私有仓库 | 用户登录 |用户创建
m0_75015568的博客
04-25 1762
Docker Harbor | 私有仓库 | 用户登录 |用户创建
解决Linux用户权限问题:从sudoers到docker组的完整指南
weixin_28338005的博客
03-31 401
本文详细解析Linux系统中常见的用户权限问题,特别是sudoersdocker权限的配置与解决方案。通过实际案例步骤指导,帮助用户有效解决'Permission denied'错误,提升系统管理效率与安全性。
解决Linux用户权限问题:从sudoers配置到Docker组管理
apple5的专栏
02-26 983
本文系统讲解了Linux系统中两大常见权限问题的解决方案。针对“用户不在sudoers文件中”错误,详细介绍了通过visudo安全编辑配置文件或使用usermod命令将用户加入sudo组的正确方法。针对普通用户无法操作Docker的问题,核心在于将用户加入docker组以获取/var/run/docker.sock文件的访问权限,并强调了使用gpasswdnewgrp命令的实践步骤与安全注意事项。
Docker Run
爱是与世界平行
11-15 2370
Docker Run一、Docker命令详解常用选项: 一、Docker命令详解 命令格式: docker run [OPTIONS] IMAGE [COMMAND] [ARG...] # 通过run命令创建一个新的容器(container) 常用选项: ...
linux用户隔离,隔离 Docker 容器中的用户
weixin_39641386的博客
04-28 950
笔者在前文《理解 docker 容器中的 uid gid》介绍了 docker 容器中的用户与宿主机上用户的关系,得出的结论是:docker 默认没有隔离宿主机用户容器中的用户。如果你已经了解了 Linux 的 user namespace 技术(参考《Linux Namespace : User》),那么自然会问:docker 为什么不利用 Linux user namespace 实现用...
Docker笔记】
菩提本无树 明镜亦非台 本来无一物 何处惹尘埃
05-29 666
记录一些docker镜像使用的实战技巧。
docker基础命令
2303_77275067的博客
11-30 1477
Dockerfile 的基本结构基础镜像(Base Image):从哪个基础镜像开始构建。维护者信息(Maintainer):指定镜像的维护者信息(可选)。环境变量(Environment Variables):设置环境变量。工作目录(Working Directory):设置工作目录。文件复制(Copy):将文件从宿主机复制到镜像中。运行命令(Run):在镜像中执行命令。暴露端口(Expose):指定容器运行时需要暴露的端口。启动命令(Entrypoint 或 Cmd)
docker系列】使用非root用户安装及启动docker(rootless模式运行)
热门推荐
字母哥博客
05-20 3万+
字母哥只出精品原创,使用非root用户安装及启动docker(rootless模式运行)
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值