无根docker镜像

Question

我尝试过运行最新版本的debian和alpine，但似乎是以root用户身份运行。

如果返回为空，我认为echo $USER不应该返回根目录；然后，我需要使用命令whoami验证，如果返回根目录，我们已经在根模式下登录到docker容器，这可能会导致漏洞。

Answer 1

处理这个问题的通常方法是在你的Dockerfile中覆盖它(你可以做docker run --user，但这可能会让程序感到困惑，因为例如不会有主目录设置)。

FROM ubuntu
RUN useradd --create-home appuser
WORKDIR /home/appuser
USER appuser

更多细节，以及您可以执行的其他一些保护容器的操作：https://pythonspeed.com/articles/root-capabilities-docker-security/

Answer 2

根据此StackOverflow answer，您需要传递参数--user <user>才能以非根用户身份登录。

示例：docker run -it --user nobody alpine