开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

在使用exec (shell)运行Docker之后，以非root用户身份在Docker内部运行命令

当使用exec (shell)命令在Docker容器内运行命令时，可以通过指定用户身份来运行命令，以非root用户身份在Docker内部运行命令有以下几种方法：

使用用户ID（UID）和组ID（GID）运行命令：可以通过在exec命令中使用-u <UID>:<GID>选项来指定用户ID和组ID，以非root用户身份运行命令。例如，使用docker exec -u 1000:1000 <容器名称> <命令>指定用户ID和组ID为1000。
使用用户名称运行命令：可以通过在exec命令中使用-u <用户名>选项来指定用户名称，以非root用户身份运行命令。例如，使用docker exec -u myuser <容器名称> <命令>指定用户名为myuser。

以上两种方法都可以以非root用户身份在Docker容器内运行命令，具体使用哪种方法取决于具体需求和容器内部用户的设置。

非root用户在Docker内部运行命令的优势是增强容器的安全性和隔离性，避免了潜在的安全风险。此外，以非root用户身份运行命令也有助于遵循最小权限原则，只给予命令所需的权限，提高系统的整体安全性。

使用非root用户身份在Docker内部运行命令的应用场景包括：

Web应用程序：在容器内部运行Web应用程序时，可以使用非root用户来运行应用程序进程，以提高安全性和隔离性。
数据库管理：在容器内部运行数据库管理命令时，以非root用户身份运行可以限制对数据库的访问权限，保护数据库的安全。
容器化开发环境：在使用Docker搭建开发环境时，可以以非root用户身份在容器内运行各种开发工具和命令，以提高容器的安全性和开发效率。

在腾讯云的云计算平台上，推荐使用以下相关产品来支持以非root用户身份在Docker内部运行命令：

腾讯云容器服务（Tencent Kubernetes Engine，TKE）：提供了托管的Kubernetes容器集群，支持以非root用户身份在容器内运行命令，并且可以灵活配置容器的安全策略。
腾讯云轻量应用服务器（Tencent Cloud Lightless Server，CLS）：提供了轻量级的容器实例，支持以非root用户身份在容器内运行命令，并且可以快速部署和管理容器实例。

以上是关于以非root用户身份在Docker内部运行命令的完善且全面的答案，希望能对您有所帮助。

相关搜索:Composer在docker中以root用户身份运行，即使指定了user也是如此 Firefox headless无法以非root用户身份在Docker中工作 Intellij在linux上以root用户身份运行配置 minio可以在docker容器中作为非run用户运行吗？Shell脚本不能以root用户身份在cron中运行以root用户身份在启动时运行Python脚本以root用户身份在脚本中运行命令/不要求输入密码以root用户身份运行Docker入口点，以非root用户身份运行CMD 以root用户身份运行shell脚本时，使用用户未提升的权限在Docker容器中使用变量运行命令

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

一步步学KubeVirt CI （3） - gosu在容器中的使用

容器中使用gosu的起源来自安全问题，容器中运行的进程，如果以root身份运行的会有安全隐患，该进程拥有容器内的全部权限，更可怕的是如果有数据卷映射到宿主机，那么通过该容器就能操作宿主机的文件夹了，一旦该容器的进程有漏洞被外部利用后果是很严重的。因此，容器内使用非root账号运行进程才是安全的方式。gosu类似linux中的su和sudo命令。但是既然有了su和sudo为何还要做出一个gosu来。因为：

03

Linux 提权总结

可见在权限位置有一个s权限。那么这个s的作用是什么呢？答案是当其他用户执行该文件时，该文件会以root的身份执行。这里就涉及到了Effective UID和Real UID以及Saved UID Effective UID: 程序实际操作时生效的UID Real UID: 执行该程序的用户的实际UID Saved UID: 在高权限用户降权后，保留的其原本UID (不展开说)

02

Docker逃逸漏洞复现（CVE-2019-5736）

2019年2月11日，runc的维护团队报告了一个新发现的漏洞，该漏洞最初由Adam Iwaniuk和Borys Poplawski发现。该漏洞编号为CVE-2019-5736，漏洞影响在默认设置下运行的Docker容器，并且攻击者可以使用它来获得主机上的root级访问权限。

03

Docker Exec 命令详解与实践指南

Docker Exec 是 Docker 中一个非常有用的命令，它允许您在正在运行的容器内部执行命令。这对于调试、管理和与容器进行交互非常有帮助。在本篇文章中，我们将深入探讨 Docker Exec 命令的使用方法，并提供一些实用的示例，旨在帮助初学者更好地理解和运用这一功能。

01

Docker实践之03-Dockerfile指令详解

所谓定制镜像，那一定是以一个镜像为基础，在其上进行定制。就像我们之前运行了一个nginx镜像的容器，再进行修改一样，基础镜像是必须指定的。而FROM就是指定基础镜像，因此一个Dockerfile中FROM是必备的指令，并且必须是第一条指令。

03

docker 下安装 mysql / mongoDB / postgres

如果是此句, 则是拉取最新版本 $ docker pull mysql:latest

02

Singularity — 生信流程搭建好帮手

Singularity 是一个容器平台，专为科学计算和数据密集型应用设计。最初是由 Gregory Kurtzer 在 2015 年创立的。Gregory Kurtzer 有着深厚的高性能计算背景，并且在开源社区中有着广泛的贡献。他意识到现有的容器解决方案不能很好地满足科学计算社区的需求，特别是在安全和易用性方面。因此，他创建了 Singularity，目标是提供一个既安全又高效的容器解决方案，特别是为了满足科研和企业中对高性能计算需求。其优势如下：

01

docker创建mysql，以及mysql无法连接问题

Docker开放3306端口实现步骤本文将介绍如何使用Docker开放3306端口，以便其他容器或外部应用程序可以通过该端口访问MySQL数据库。以下是实现步骤的简要说明：

03

你的镜像安全吗？

与传统的服务器和虚拟机相比，Docker容器为我们工作提供了更安全的环境。容器中可以使我们的应用环境组件实现更小，更轻。每个应用的组件彼此隔离并且大大减少了攻击面。这样即使有人入侵了您的应用，也会最大程度限制被攻击的程度，而且入侵后，利用漏洞传播攻击更难。

02

24条 Docker 建议

在TES GLOBAL，我们已经爱上Docker并从Docker的0.8版本开始就在生产环境中使用它。我们的很多开发者都参加了在DockerCon欧洲上的培训。下面是我们总结的一些tips，希望可以帮

04

理解 Docker 容器中 UID 和 GID 的工作原理

理解用户名、组名、用户ID（UID）和组ID（GID）在容器内运行的进程与主机系统之间的映射是构建安全系统的重要一环。如果没有提供其他选项，容器中的进程将以root用户身份执行（除非在Dockerfile中提供了不同的UID）。本文将解释这一工作原理，如何正确授予权限，并提供示例加以说明。

01

用户查询操作权限命令

/etc/gshadow 存储当前系统中用户组的密码信息 Tips:原先只有group和passwd两个文件，但后来考虑到安全性问题就又演变出shadow和gshadow两个文件

01

docker安装mysql

我对比了一下。发现第一个是mysql官方推出的，而第二是docker自带library推出的。那么我肯定选择mysql官方推出的mysql了。

05

一文吃透Linux提权

大多数计算机系统设计为可与多个用户一起使用。特权是指允许用户执行的操作。普通特权包括查看和编辑文件或修改系统文件。特权升级意味着用户获得他们无权获得的特权。这些特权可用于删除文件，查看私人信息或安装不需要的程序，例如病毒。通常，当系统存在允许绕过安全性的错误或对使用方法的设计假设存在缺陷时，通常会发生这种情况。

04

云原生安全全攻略

容器镜像是编译构建而成、存储在镜像仓库中、由Docker命令或kubectl命令启动运行的软件包。在容器镜像的构建、保存、获取以及启动环节中，有很多的安全隐患。

02

Windows 远程登录 Linux 服务器 docker 容器

ssh是较可靠，专为远程登录会话和其他网络服务提供安全性的协议，广泛用于远程登录的场景，也是远程调试代码的神兵利器。在开发中经常会在服务器启动自己的 docker 容器进行开发，又需要调试代码，vim的调试环境配置起来门槛又太高。于是就有了使用Windows直接ssh打通docker进行调试的需求。本文记录Windows远程登录Linux服务器docker容器的方法。环境说明登录主机操作系统 Win 10 被登录主机操作系统 docker container in Linux 主机与被登录主机（此

02

Docker入门教程

Docker是一个部署和管理容器化应用程序的平台。由于容器的灵活性，容器在开发人员，管理员和开发人员工程师中很受欢迎。

01

第七章·Linux用户管理-用户的基本操作

-多年互联网运维工作经验，曾负责过大规模集群架构自动化运维管理工作。 -擅长Web集群架构与自动化运维，曾负责国内某大型金融公司运维工作。 -devops项目经理兼DBA。 -开发过一套自动化运维平台（功能如下）： 1)整合了各个公有云API，自主创建云主机。 2)ELK自动化收集日志功能。 3)Saltstack自动化运维统一配置管理工具。 4)Git、Jenkins自动化代码上线及自动化测试平台。 5)堡垒机，连接Linux、Windows平台及日志审计。 6)SQL执行及审批流程。 7)慢查询日志分析web界面。

03

Ubuntu环境实现非root身份操作Docker的方法

在文章Linux Ubuntu安装Docker环境中，我们介绍了开源容器化平台和工具集Docker的详细配置方法；配置完毕后，Docker就已经可以正常使用了，但是还有着一个小问题——我们在Unix系统中进行Docker的各项操作时，由于Docker是和Unix的套接字（Socket）绑定的，而套接字归属于系统的root用户，非root用户如果需要访问它，就只能通过sudo命令实现；这也导致了，我们运行Docker时都必须要以root用户身份（也就是通过sudo命令）来实现。这就使得我们在执行很多和Docker有关的命令时，都需要输入一次root用户的密码，导致较为麻烦。那么，我们是否可以取消这一个限制呢？

02

待补充说明

Pod中的，runAsUser 能指定 Pod 中的所有容器内的进程都使用用户 ID runAsUser 来运行。而如果容器中也设置了runAsUser则以容器中设置的优先，服务启动将以runAsUser设置的用户ID运行。 runAsGroup

02

Linux提权姿势一：滥用SUDO提权

在渗透中，我们拿到的webshell和反弹回来的shell权限可能都不高，如果我们可以使用sudo命令访问某些程序，则我们可以使用sudo可以提权。在这里，我们可以通过调用一些二进制文件，这些文件可以帮助我们使用sudo命令提升特权。但是在特权升级之前，让我们了解一些sudoer文件语法，sudo命令是什么？;）。

02

快速学习Docker-Docker-file的指令格式

版权声明：本文为博主原创文章，遵循 CC 4.0 BY-SA 版权协议，转载请附上原文出处链接和本声明。

01

浅析Docker运行安全

AppArmor 主要的作用是设置某个可执行程序的访问控制权限，可以限制程序读/写某个目录/文件，打开/读/写网络端口等等。

01

如何在Ubuntu 18.04上使用Kubeadm创建Kubernetes 1.11集群

Kubernetes是一个容器编排系统，可以大规模管理容器。Kubernetes最初由谷歌根据其在生产中运行容器的经验开发而成，是一个开源的，并由世界各地的社区积极开发。

00

如何部署 Kubernetes 集群

Kubernetes是一个容器编排系统，可以大规模管理容器。Kubernetes最初由谷歌根据其在生产中运行容器的经验开发而成，是一个开源的，并由世界各地的社区积极开发。Kubeadm自动安装和配置Kubernetes组件，例如API服务器，Controller Manager和Kube DNS。但是，它不会创建用户或处理操作系统级依赖关系及其配置的安装。对于这些初步任务，可以使用Ansible或SaltStack等配置管理工具。使用这些工具可以更轻松地创建其他集群或重新创建现有集群，并且不易出错。

05

Docker手册

目录 Docker手册 1、Ubuntu安装Docker 2、配置非root用户可启动Docker 3、Docker基本说明 4、MySQL 5、Redis 6、Kafka Docker手册 v1.1 1、Ubuntu安装Docker 删除旧版本更新源安装以下包以使apt可以通过HTTPS使用存储库（repository）添加Docker官方的GPG密钥使用下面的命令来设置stable存储库：再更新一下apt包索引安装最新版本的Docker CE 所有命名如下： sudo apt-get

03

在code server中使用rootless docker

docker默认是以root用户运行的，如果你也是通过root身份登录的主机，应该不会有该问题，下面介绍的非root用户如何解决

01

【权限提升】六种数据库提权&口令获取

通过webshell查看phpmyadmin中配置文件(confiug.default.php)获取数据库账号密码

01

Docker快速部署数据库

在学习Docker的基本操作之后,最近恰好遇到一个需要搭建数据库的需求,今天就来一次数据库docker版本的安装配置笔记.其中,Mysql部分记录了通过Dockerhub官方帮助文档完成数据库的安装部署,主要记录思路,mongo部分不在赘述,主要记录操作

01

一文了解提权：溢出提权和第三方组件提权

SUID可以让调用者以文件拥有者的身份运行该文件，所以我们利用SUID提权的思路就是运行root用户所拥有的SUID的文件，那么我们运行该文件的时候就得获得root用户的身份了

01

[转]Docker容器可视化监控中心搭建

【原文链接】https://www.jianshu.com/p/9e47ffaf5e31?hmsr=toutiao.io&utm_medium=toutiao.io&utm_source=toutia

03

Docker循序渐进

本文介绍了Docker的基本概念、常用命令、容器操作、容器管理、容器之间的网络以及守护式容器。通过掌握这些内容，用户可以快速上手Docker，实现高效的容器管理。

09

Docker

与其他介绍Docker的文章不同，由本文开启的系列文章将专注于Docker安全研究，一共分为6部分。

02

docker - 常用命令使用教程

本文简要介绍Docker，记录Docker常用命令使用方法。 Docker 简介 **Docker 属于 Linux 容器的一种封装，提供简单易用的容器使用接口。**Docker 将应用程序与该程序的依赖，打包在一个文件里面。运行这个文件，就会生成一个虚拟容器。程序在这个虚拟容器里运行，就好像在真实的物理机上运行一样。有了 Docker，就不用担心环境问题。 Docker 使用流程安装docker 创建Image 从Image创建Container 在Container中工作将在Contai

02

2.Ubuntu安装docker

解释一下命令的意思： sudo:_当前命令我希望用root用户执行_ wget:_是命令行的一个下载工具_ -qO-:_让wget标准输出_ | sh :_交给shell去执行_ 总的连起来:_以root用户身份用wget下载工具下载一个shell脚本文件标准输出交给sh执行_

02

Docker初识

Dockerfile 是一个文本文件，其内包含了一条条的指令(Instruction)，每一条指令构建一层，因此每一条指令的内容，就是描述该层应当如何构建

03

如何在Ubuntu 14.04上安装和使用Docker Compose

Docker是一个很棒的工具，但要真正充分发挥其潜力，最好是应用程序的每个组件都在自己的容器中运行。对于具有大量组件的复杂应用程序，编排所有容器以一起启动和关闭（更不用说彼此交谈）可能很快变得难以处理。

01

Docker 循序渐进

上一篇大致介绍了什么是Docker和其安装（以Ubuntu为例）。这篇来说说，Docker的基本操作。非Root用户授权上一篇的演示中使用的都是默认登录了Root权限后的操作，而实际的开发运维情况下，我们一般极少使用Root权限，所以Docker提供了一个权限组，我们只需要把当前用户加入到Docker用户组中。一共需要三条指令: 1 2 3$ sudo groupadd docker $ sudo gpasswd -a ${USER} docker $ sudo service docker

08

Linux提权的几种常用方式

在渗透测试过程中，提升权限是非常关键的一步，攻击者往往可以通过利用内核漏洞/权限配置不当/root权限运行的服务等方式寻找突破点，来达到提升权限的目的。

02

Dockerfile（9） - ENTRYPOINT 指令详解

那么有了 CMD 后，为什么还要有 ENTRYPOINT 呢？这种 <ENTRYPOINT> "<CMD>" 有什么好处么？

04

自动重启docker脚本

结合定时任务可每十分钟检索运行的docker容器，如果存在挂掉的容器则全部停止，并按顺序重启容器

04

Linux CentOS 7 非root用户安装源码版Docker

2.新增拥有sudo权限的用户(若知道root和其他拥有sudo权限的系统用户密码,跳到3;若都没有,必做)

02

【Linux操作系统】shell和文件权限

解答：乌龟壳是用来保护乌龟的，shell中文:外壳,就是用来保护我们的Linux内核(kernel)的，shell其实是一个软件层，也就是我们所说的应用程序，通过这个外壳程序提供的命令行界面，我们可以操控我们的Linux内核。

03

在Ubuntu20.04以Docker方式安装Mysql详细教程（支持外部连接，数据映射到物理磁盘，备份数据，导出数据，恢复数据）

最近，从阿里云迁移到天翼云，为了保证WordPress查库速度，数据库也要一并迁移，但数据库是很贵的，为了降低个人WordPress网站的成本，我决定自己建数据库。本文是使用Docker镜像建立数据库的方法，数据库文件映射到物理机，支持外部连接，并提供了数据备份和恢复的方法。

05

docker | dockerfile指令详解

Dockerfile用于构建docker镜像, 实际上就是把在linux下的命令操作写到了Dockerfile中, 通过Dockerfile去执行设置好的操作命令, 保证通过Dockerfile的构建镜像是一致的.

04

在MacOs上用Docker开发

该文章介绍如何使用Docker在Mac上构建和运行Node.js应用程序。首先，介绍了Docker的基本概念和优势，然后详细说明了在Mac上使用Docker的开发流程。包括拉取Docker镜像、运行容器、管理容器和容器路径等。最后，探讨了Docker在软件开发和部署中的重要性，以及Docker在Mac上的实际应用场景。

00

Docker学习笔记之一：准备，安装，初体验

该文介绍了如何准备、安装和初体验Docker，包括下载和安装Docker，使用Docker创建和运行容器，以及尝试在Ubuntu系统上部署Nginx服务。

Docker的准备，安装，初体验

想实践一下Docker，手头是个windows电脑，由于想在linux下实践，所以第一步是装虚拟机，我用的是VMware Workstation 12 Player，虚拟机文件用的是ubuntu-16.04-desktop-amd64，装好ubuntu之后，如果想在windows和ubuntu之间方便的传递文件，可以在虚拟机设置中添加共享文件夹，步骤如下图：

01

Dockerfile命令(下)

但是如果在运行时加上新的命令，则Dockerfile中的CMD的命令将会被替代掉。

05

万字长文带你看全网最详细Dockerfile教程

Dockerfile是用于构建Docker容器镜像的文本文件，它包含了一系列指令和配置，用于描述如何组装一个Docker容器的环境。通过Dockerfile，你可以自动化地构建镜像，确保在不同的环境中都可以复现相同的容器。Dockerfile中的指令可以指定从哪个基础镜像开始构建、复制文件到镜像中、安装软件包、设置环境变量、暴露端口、运行命令等等。每个指令都会在镜像的构建过程中创建一个新的镜像层，这些层构成了最终镜像的结构。这种分层结构让镜像的构建更加高效，同时也方便了镜像的复用和共享。以下是一个简单的Dockerfile示例：

07

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭