龙空技术网

Docker 文件和卷:权限拒绝

墨谈科技 72

前言:

目前朋友们对“docker映射出来的文件权限”大概比较珍视,兄弟们都需要了解一些“docker映射出来的文件权限”的相关文章。那么小编也在网络上网罗了一些有关“docker映射出来的文件权限””的相关知识,希望看官们能喜欢,朋友们一起来了解一下吧!

在复制到 Docker 映像的文件或访问 Docker 容器内已安装卷上的文件时遇到“权限被拒绝”错误?在此博客中,您将了解为什么会出现“权限被拒绝”错误以及如何解决它。享受!

一、简介

在深入探讨 Docker 容器中的 Permission Denied问题之前,最好了解 Linux 中权限的基本知识。如果您已经熟悉这些概念,则可以跳过本段。

可以在 Ubuntu 文档和这个关于umask的优秀解释 中找到熟悉权限的一个很好的起点。如果您想要快速总结,请继续阅读!

当您创建一个新目录blog并列出该目录的属性时,您将在终端窗口中看到以下输出:

$ mkdir blog
$ ls -la
drwxrwxr-x 2 user group 4096 Aug 14 06:15 blog/

让我们从左到右检查这里列出的一些项目:

当您创建一个新文件defaultpermissions.txt并列出该文件的属性时,您将看到类似的输出:

$ touch defaultfilepermissions.txt
$ ls -la
-rw-rw-r-- 1 user group 0 Aug 14 06:20 defaultfilepermissions.txt

权限的列出方式与目录类似。没有 das 第一项,因为它当然不是目录,并且文件没有任何执行权限。

2.先决条件

以下段落中执行的测试是在 osboxes.org提供的基于 Ubuntu 22.04 的 VirtualBox 虚拟机 (VM) 中执行的。如果您按照上一篇文章第 2 段中的说明进行操作,则可以轻松 设置。

登录到 VM 后,需要安装 docker。在撰写本文时,使用的是 Docker v20.10.14。

sudo snap install docker

您还可以从您自己的本地安装的 Ubuntu 中执行测试,执行测试不需要更改您的系统设置。

使用 OSBoxes VM 时,用户/组将为 osboxes/osboxes。如果您使用自己的系统,则可以使用 usersand groups命令检索用户/组。

以下段落中使用的文件可在 GitHub 上找到。

3.以root身份运行的容器

在第一个测试中,文件将从本地文件系统复制到 Docker 映像。Docker 镜像的基础镜像是 Alpine Linux 镜像。

创建一个目录1-defaultcontainer,导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个:

FROM alpine:3.16.2


COPY test.txt /tmp/test.txt


该 FROM指令将使用 Alpine Linux 3.16.2 基础 Docker 映像,并且该 COPY指令会将本地 test.txt文件复制到位于 location 的 Docker 映像中 /tmp/test.txt。

在终端窗口中,构建 Docker 映像:

$ sudo docker build -f Dockerfile -t dockertest .
[sudo] password for osboxes:
Sending build context to Docker daemon 3.072kB
Step 1/2 : FROM alpine:3.16.2
3.16.2: Pulling from library/alpine
213ec9aee27d: Pull complete
Digest: sha256:bc41182d7ef5ffc53a40b044e725193bc10142a1243f395ee852a8d9730fc2ad
Status: Downloaded newer image for alpine:3.16.2
---> 9c6f07244728
Step 2/2 : COPY test.txt /tmp/test.txt
---> 842ef14a6a73
Successfully built 842ef14a6a73
Successfully tagged dockertest:latest


以交互模式启动 Docker 容器,以便能够使用 shell:

sudo docker run --rm -it dockertest /bin/sh

导航到目录/tmp并列出文件:

ls -la2-rw-rw-r-- 1根 23 Aug 14 10 :33 test.txt

请注意,文件权限被保留,但用户/组是 root/root。默认情况下,Docker 容器以 root 用户身份运行,这是一个安全问题。

尝试执行 cat test.txt,你会注意到文件的内容被输出了。尝试通过编辑文件 vi并保存文件。这个动作也是允许的。这些结果是合乎逻辑的:root 用户执行它们,root 可以做任何事情。

键入 退出 shell exit。

为了确保测试彼此独立执行,请按如下方式删除 Docker 映像:

$ sudo docker rmi dockertest

4.以用户1000运行的容器

此测试与第一个测试类似,不同之处在于您将为 Docker 容器创建一个用户。这样,容器将不再以 root 用户身份运行,这是一种更安全的容器运行方式。

创建一个目录2-containeruser1000,导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个:

FROM alpine:3.16.2

RUN addgroup --g 1000 groupcontainer
RUN adduser -u 1000 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY test.txt /home/containeruser/test.txt


这个新的发生了什么 Dockerfile?

使用 ,使用 gid 1000 创建RUN addgroup一个组 ;groupcontainer使用 RUN adduser, containeruser创建一个 uid 为 1000 的用户,属于组 groupcontainer和主目录 /home/containeruser;使用 USER containeruser,容器与用户一起运行 containeruser;本地 test.txt文件被复制到 containeruser.

这 Dockerfile可以更有效地减少层数。有关图层的更多信息,请阅读 有关此主题的上一篇文章。为了简单起见,这里不考虑优化 Docker 镜像。

像以前一样构建并运行容器。首先检查哪个用户正在运行容器:

# whoami

containeruser

正如预期的那样,容器以 user 身份运行containeruser。导航到主目录containeruser并列出文件:

# ls -la

-rw-rw-r-- 1 root root 23 Aug 14 10:58 test.txt

这可能会让您感到惊讶,但文件的所有者仍然是 root/root。

尝试执行 cat test.txt,你会注意到文件的内容被输出了。可以这样做,因为 other具有读取权限。请记住,容器 containeruser现在以用户身份运行。尝试编辑文件 vi并保存文件。这是不可能的:会发出警告,指出该文件是只读的。那是因为 other没有写权限。

如果您仍然不相信,请执行相同的测试,但使用 uid/gid 1024。结果是相同的。这些文件在目录中的存储库中可用3-containeruser1024。下面对应Dockerfile:

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY test.txt /home/containeruser/test.txt

删除 Docker 映像。

5. 容器以用户 1024 运行并更改所有权

在本段中,您将解决权限问题。诀窍是将文件的所有权更改为运行 Docker 容器的用户。创建一个目录4-containeruser1024changedowner。是Dockerfile:

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY --chown=containeruser:groupcontainer test.txt /home/containeruser/test.txt

在包含的行中 COPY,文件的所有权 test.txt更改为用户 containeruser和组 groupcontainer。

像以前一样构建并运行容器。导航到用户的主目录containeruser并列出文件:

# ls -la

-rw-rw-r-- 1 containe groupcon 23 Aug 14 10:58 test.txt

尝试执行 cat test.txt,你会注意到文件的内容被输出了。尝试编辑文件 vi并保存文件。这是允许的,因为这一次, containeruser拥有该文件并具有适当的写入权限。

删除 Docker 映像。

6. 体积映射

使用卷映射,您将本地目录映射到 Docker 容器内的目录。这可能会更棘手,因为您必须对本地系统权限、用户、组等做出一些假设。通常这可以正常工作,因为您的本地 uid/gid 可能是 1000/1000 并且在容器内这将是相似的。对于卷映射,重要的是所有者的 uid/gid 在容器外部和内部是相同的。让我们看看这是如何工作的!

创建一个目录 5-volumemapping并在该目录中创建一个目录 testdir和一个 test.txt包含一些虚拟内容的文件。

检查本地用户的 uid/gid:

$ id -u osboxes
1000
$ id -g osboxes
1000

目录的权限是:

$ ll
drwxrwxr-x 2 osboxes osboxes 4096 Aug 14 04:19 testdir/

该文件的权限为:

$ ll

-rw-rw-r-- 1 osboxes osboxes 23 Aug 14 06:58 test.txt

这一次,您使用以下内容Dockerfile:

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

RUN mkdir /home/containeruser/testdir

请注意,对于测试,重要的是本地用户的 uid/gid 和容器内的用户不同。这次您不会将文件复制到容器中,但是使用 RUN mkdir可以确保存在可以将本地卷映射到的目录。

像以前一样构建 Docker 映像并从内部目录运行容器,5-volumemapping如下所示。该参数会将本地目录-v挂载到用户的主目录中。testdirtestdircontaineruser

$ sudo docker run -v $(pwd)/testdir:/home/containeruser/testdir --rm -it dockertest /bin/sh

导航到目录/home/containeruser并列出内容:

# ls -la
drwxrwxr-x 2 1000 1000 4096 Aug 14 10:23 testdir

如您所见,uid/gid 的值为 1000/1000,这是创建目录的本地系统用户的 uid/gid。

导航到目录testdir并列出内容:

# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt

同样,您注意到文件的所有权与目录的所有权相同。

尝试读取 file 的内容test.txt,成功。尝试创建一个新文件test2.txt,这将返回Permission Denied错误,因为other在此目录中没有写入权限。

# cat test.txt
this is a test message
# touch test2.txt
touch: test2.txt: Permission denied

如何解决这个问题,在 这个博客中有很好的解释。

更改目录的所有权,以便组 1024 拥有本地系统上的所有权

$ sudo chown :1024 testdir/

确保新文件获得组所有权。

$ chmod g+s testdir/

# ls -la
drwxrwxr-x 2 1000 groupcon 4096 Aug 12 10:23 testdir

现在您注意到该组 groupcontainer拥有该目录的所有权。

导航到目录testdir,创建一个文件,编辑它vi并输出内容。这一切现在都是可能的。

# touch test2.txt
# vi test2.txt
# cat test2.txt

another test message

检查文件的权限。

# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt
-rw-r--r-- 1 containe groupcon 0 Aug 14 10:37 test2.txt

该文件 test.txt仍然拥有 uid/gid 1000/1000 的原始所有权,新 test2.txt文件拥有 containeruser/groupcontainer 的所有权。

从本地系统可以读取 的内容 test2.txt,但由于 的只读权限,不允许更改其内容 other。根据您的用例,存在几种解决方案,如上述博客文章中所述,如何解决此问题。

删除 Docker 映像。

7. 结论

将文件复制到 Docker 映像时出现Permission Denied错误可以在 Dockerfile. 只需按照本博客中描述的提供的解决方案进行操作即可。 本地目录和容器内目录之间的卷映射的Permission Denied错误可能有点棘手。希望本博客中提供的信息能帮助您理解和解决 Permission Denied错误。

标签: #docker映射出来的文件权限