Docker 镜像构建与分发全解析
构建强化应用镜像
在构建 Docker 镜像时,用户权限是一个需要细致处理的方面。为了确保容器内的进程以非管理员权限运行,可以使用名为gosu的程序以postgres用户身份启动 PostgreSQL 进程。一般来说,如果构建的镜像用于运行特定应用程序代码,默认执行应尽快降低用户权限。
一个运行良好的系统应该在合理的默认设置下具备一定的安全性。然而,应用程序或任意代码很少是完美的,甚至可能存在恶意代码。因此,需要采取额外措施来减少镜像的攻击面。
SUID 和 SGID 权限
Linux 系统中的文件系统权限除了常见的读、写、执行权限外,还有 SUID(setuid)和 SGID(setgid)权限需要特别关注。
- SUID 权限:当一个可执行文件设置了 SUID 位,它将始终以其所有者的身份执行。例如,
/usr/bin/passwd由 root 用户拥有并设置了 SUID 权限,非 root 用户执行该程序时将以 root 用户身份运行。以下是一个展示 SUID 权限的 Dockerfile 示例:
FROM ubuntu:latest # Set the SUID bit on whoami RUN chmod u+s /usr/bin/whoami # Create an example user and set it as the defau
