Docker容器在Debian上的权限如何设置

Docker 容器在 Debian 上的权限设置

一 宿主机侧权限配置

• 将普通用户加入 docker 组，避免每次使用 sudo 执行 Docker 命令：
  • 安装并启动 Docker（如尚未安装）：sudo apt update && sudo apt install -y docker.io && sudo systemctl start docker && sudo systemctl enable docker。
  • 添加用户到 docker 组：sudo usermod -aG docker your_username；随后需重新登录或重启会话使其生效。
  • 验证：运行 docker run hello-world，能正常输出即表示权限配置成功。
  • 安全提示：加入 docker 组等效于获得对 Docker 守护进程的免 sudo 访问，应仅授予可信用户。

二 容器内用户与 sudo 配置

• 默认情况下，容器以 root 运行；为降低风险，建议在镜像中创建非 root 用户，并在需要时临时提权。
• 在 Debian/Ubuntu 系镜像中安装并使用 sudo 的示例 Dockerfile：
  • Dockerfile：
    • FROM debian:bookworm
    • RUN apt-get update && apt-get install -y sudo && rm -rf /var/lib/apt/lists/*
    • RUN useradd -m -s /bin/bash appuser
    • RUN echo ‘appuser:apppass’ | chpasswd
    • RUN usermod -aG sudo appuser
    • WORKDIR /home/appuser
    • USER appuser
    • CMD [“/bin/bash”]
  • 构建与运行：docker build -t myapp:latest .；docker run -it myapp:latest
  • 在运行中临时以 root 执行命令：docker exec -u root -it <容器名> ；或在容器内使用 sudo （前提是已安装并配置 sudo）。

三 容器运行时权限与能力控制

• 最小权限原则：避免使用 –privileged（权限过宽），优先采用 –cap-add/–cap-drop 进行细粒度能力控制。
• 典型场景示例：
  • 需要操作网络（如 iptables）：docker run --cap-add NET_ADMIN --cap-add NET_RAW -it bash
  • 默认情况下，容器内的 root 也无法执行 iptables；添加上述能力后方可执行网络管理操作。
  • 进一步收紧：可先 --cap-drop ALL，再仅添加所需能力，减少攻击面。

四 常见问题与排查

• 出现 “denied: requested access to the resource is denied” 或无法执行 docker 命令：
  • 检查 Docker 服务状态：sudo systemctl status docker；必要时 sudo systemctl start docker。
  • 确认当前用户是否在 docker 组：groups；若不在，执行 sudo usermod -aG docker $USER 并重新登录。
  • 检查套接字权限：ls -l /var/run/docker.sock；一般属主为 root:docker，不建议放宽至 666，优先通过加入 docker 组解决。
  • 仍异常时查看日志：sudo journalctl -u docker.service -n 100。