Docker 命令之 --user 参数

Docker 的 --user 参数（或 -u）用于指定容器运行时使用的用户身份，可以提升安全性并控制权限。以下是其关键用法和注意事项：

核心用法

运行时指定用户

在 docker run 命令中通过 -u 参数直接指定用户或 UID/GID：

# 指定用户名
docker run -u root jenkins

# 指定 UID 和 GID
docker run -u 1000:1000 jenkins

这会覆盖 Dockerfile 中的 USER 指令设置。

Dockerfile 中预设用户

在镜像构建时通过 USER 指令定义默认用户（需提前创建用户）：

RUN groupadd -r appuser && useradd -r -g appuser appuser

USER appuser

这样容器默认以非 root 用户运行。

临时以 root 身份进入容器

# 通过 --user root 覆盖用户身份进行调试：
docker exec -it --user root jenkins /bin/bash

安全实践

• 避免使用 root 用户
  • 默认容器以 root 身份运行，存在安全风险。建议在 Dockerfile 或运行时切换至非特权用户。
• 使用 gosu 替代 su/sudo
  • 若需临时提权，推荐使用 gosu 工具，其配置更简单且适合非 TTY 环境。

验证与调试

检查容器用户身份

# 进入容器后使用 id 或 whoami 确认当前用户：
docker exec -it my-container sh

# 输出示例：uid=1000(appuser) gid=1000(appuser)
id

常见问题

• 用户不存在导致启动失败
  • 确保 Dockerfile 中已通过 RUN useradd 创建用户，或在运行时指定有效的 UID/GID。
• 权限不足
  • 挂载宿主目录时，需确保容器用户有对应权限，或使用 --privileged=true 授予特权。

通过合理使用 --user 参数，可以在提升容器安全性的同时，灵活控制进程权限。更多实践可参考 Docker 官方文档或相关技术博客。