开发者社区

文档建议反馈控制台

最新优惠活动

文章/答案/技术大牛

发布

Composer在docker中以root用户身份运行，即使指定了user也是如此

Composer是一个用于PHP依赖管理的工具，它可以帮助开发人员管理项目中所需的第三方库和依赖关系。在Docker中运行Composer时，默认情况下会以root用户身份运行，即使在Dockerfile中指定了user。

这种行为是由于Docker容器的权限限制所导致的。在Docker中，容器内的用户和组与宿主机是隔离的，因此在容器中运行的进程默认会以容器内的root用户身份运行。即使在Dockerfile中指定了user，也只是在容器内部创建了一个普通用户，但并不会改变进程的运行身份。

尽管以root用户身份运行Composer可能存在一些安全风险，但在某些情况下，这是必要的。例如，某些Composer插件可能需要在全局范围内安装依赖，而这需要root权限。此外，某些项目可能需要在构建过程中执行一些需要root权限的操作。

然而，为了提高安全性，建议在使用Composer时遵循以下最佳实践：

尽量避免在生产环境中以root用户身份运行Composer。在生产环境中，可以使用非特权用户来运行Composer，并确保只有必要的文件和目录对该用户可写。
在开发环境中，可以使用root用户运行Composer，但要注意只在可信的项目中执行此操作，并且要定期更新Composer及其依赖项。
使用Docker时，可以通过在Dockerfile中指定USER指令来切换到非特权用户。这样可以在构建过程中以非root用户身份运行Composer，并确保只有必要的文件和目录对该用户可写。

总之，Composer在Docker中以root用户身份运行是默认行为，但在实际使用中应根据安全性和项目需求来决定是否以root用户身份运行。

相关搜索:无法以非root用户身份在docker容器中运行EF 拒绝访问用户' root '@'localhost‘错误，即使在python pyspark中授予root @localhost权限之后也是如此如何在docker中以root用户身份运行php-fpm 在使用exec (shell)运行Docker之后，以非root用户身份在Docker内部运行命令在docker容器中"groupadd:没有找到命令“，即使我安装了它并且我是root用户也是如此 Firefox headless无法以非root用户身份在Docker中工作以root用户身份在脚本中运行命令/不要求输入密码如何在Docker中以非root用户身份在Ubuntu下执行cron作业用户应用程序或更详细地说，进程在UNIX中以root身份运行或在Windows中以系统身份运行的条件是什么除非以root用户身份运行，否则Tekton管道无法在工作空间目录中创建文件我可以在docker容器中以非root用户的身份绑定到端口80。为什么？到底怎么回事？在C#中，当应用程序以管理员身份运行时，如何更改已登录用户的HKEY_CURRENT_USER？

相关搜索:

页面内容是否对你有帮助？

有帮助

没帮助

相关·内容

理解 Docker 容器中的 uid 和 gid

默认情况下，容器中的进程以 root 用户权限运行，并且这个 root 用户和宿主机中的 root 是同一个用户。...但是对于相同的 uid 不能有不同的特权，即使在不同的容器中也是如此。...在 Dockerfile 中指定用户身份我们可以在 Dockerfile 中添加一个用户 appuser，并使用 USER 命令指定以该用户的身份运行程序，Dockerfile 的内容如下： FROM...其次容器中的程序是以 appuser 的身份运行的，这是由我们通过 USER appuser 命令在 Dockerfile 程序中指定的。...从命令行参数中自定用户身份我们还可以通过 docker run 命令的 --user 参数指定容器中进程的用户身份。

6.3K4 0

Docker 和 Kubernetes 中的 root 与 privileged

作为 Root 运行 Docker 允许在其宿主机上隔离一个进程、capabilities 和文件系统，但是大多数容器实际上都是默认以 root 身份运行。...root 身份运行，这样当然更容易调试，特别是当你要 exec 到容器中时，但最好的情况还是应该避免以 root 身份运行。...避免以 root 运行虽然在容器内以 root 身份运行是很正常的，但如果你想加固你的容器，还是应该避免这样做。...这里我们有两种方法可以避免以 root 身份运行。...通过在 Dockerfile 文件中指定 user 用户： // DockerfileFROM microsoft/windowsservercore # Create Windows user in

5.1K3 0

待补充说明

另外牢记一点：以这种方式运行的实例是在特权模式下运行的；正因为如此，你将它们暴露在非 Docker 化的外界面前时，需要采取更多的防范措施。...如果该进程以 root 身份运行，它对这些资源的访问权限与主机 root 账户是相同的。...instead of root 其中以 USER 开头的一行就是关键设置，这使得 node 成为从这个镜像启动的任何容器里面的默认用户。...例如，jenkins/jenkins 镜像以名为 jenkins:jenkins 的组:用户身份运行，其应用文件全部由该用户拥有。...容器在宿主机中提供了进程隔离，所以即使容器是使用 root 身份运行的，也有容器运行时不授予容器的 Capabilities。

7742 0

docker挂载volume的用户权限问题,理解docker容器的uid

原因 Docker容器运行的时候，如果没有专门指定user, 默认以root用户运行。我们的node镜像的Dockerfile里没有指定user. 容器里的执行用户的id是0，输出文件的权限也是0....user，容器内部默认使用root用户来运行我们继续使用node镜像，你可以在github查看Dockerfile....可以看到，容器外执行sleep的进程的用户是root。容器内部的用户也是0（root）. 虽然执行docker run的用户是ryan....也就是说，我一个普通用户居然可以以root的身份去执行一个命令。看起来挺恐怖的样子。容器内部用户的权限与外部用户相同权限是通过uid来判断的。...如此，这个demo更容易理解容器内外的uid的对应关系。理解了以后我们挂载数据卷的时候就不会出现权限问题了。由于安全问题，通常也是建议不用使用root来运行容器的。

12.7K2 1

理解 Docker 容器中 UID 和 GID 的工作原理

如果没有提供其他选项，容器中的进程将以root用户身份执行（除非在Dockerfile中提供了不同的UID）。本文将解释这一工作原理，如何正确授予权限，并提供示例加以说明。...这意味着即使在运行 Docker 容器的服务器上，整个 uid 和 gid 的世界仍由一个单一内核控制。因此，在不同的容器中不能使用相同的 uid 分配给不同的用户。...因此，你可能会看到不同的用户名，但是即使在不同的容器中，对于相同的 uid/gid，你也不能拥有不同的权限。...带有定义用户的Dockerfile 当我在 Dockerfile 中创建一个不同的用户并以该用户身份启动命令时会发生什么？为了简化这个例子，我这里没有指定 gid，但相同的概念也适用于组 id。...首先，我正在以用户名为“marc”的用户身份运行这些命令，该用户的用户ID为1001。

3471 0

在API网关和微服务开发中使用Docker

本文提供了一些关于如何在微服务的开发流程中利用Docker的见解。...通常，Dockerfile中的第一条指令，使用命令FROM：这扩展了指定的容器，因此您可以从一开始就看到，对于作者来说，重用现有映像是一种巨大的激励。...执行种子操作的最简单方法之一是使用docker-compose的exec函数，该函数在指定的容器中执行命令。...这可能就足够了：您可以在API Gateway内测试任何权限逻辑或错误处理方式，这与您在任何微服务应用程序中的方式几乎相同。如果您使用身份验证服务，您可以测试每条路线的适当权限。...本文概述的方法已经暗示了在某些场景中可能出现的一些缺点，因此您可能已经了解其他技术（如Kubernetes）可能对您有用。希望它为您提供了一些关于如何解决您自己的应用程序环境中的一些问题的想法。

2.8K4 0

如何在Ubuntu 14.04上使用Ansible部署基本PHP应用程序

nano hosts 复制以下内容以添加部分php，替换your_server_ip为您的服务器IP地址并且将sammy替换为您在PHP 腾讯CVM的先决条件中创建的sudo非root用户。...前两行指定了我们希望使用的主机组（php），并确保它通过使用sudo来默认运行命令。其余的在模块中添加了我们需要的包。...最后，运行ansible-playbook以在腾讯CVM上安装软件包。如果您的PHP 腾讯CVM上的sudo用户需要密码，请不要忘记使用该--ask-sudo-pass选项。...但是，我们需要以www-data用户身份运行任务以确保权限正确。为此，我们可以告诉Ansible将命令作为使用 sudo的特定用户运行。...与git命令一样，我们也希望以www-data用户身份运行此命令以确保权限有效。

5.9K0 0

BookStack企业团队小型Wiki(知识库网站)基础安装与使用

安装参考我Docker记录的笔记 [root@weiyigeek tmp]$ docker --version Docker version 19.03.8, build afacb8b [root@weiyigeek...更多第三方平台配置参考: third-party-auth 7.LDAP 身份验证描述:BookStack 可以配置为允许基于 LDAP 的用户登录。...当 LDAP 用户首次登录到 BookStack 时，将创建其 BookStack 配置文件，并在应用程序设置中的”注册后默认用户角色”选项下为其提供默认角色集。...可以通过启用 LDAP 身份验证时在编辑角色时看到的”外部身份验证 ID”字段来覆盖此字段可以使用帐户或组的常见名称（CN）填充。如果填充，将使用此字段中的 CN，并将忽略角色名称。...#3.在BookStack文件夹中运行迁移数据库并重新创建所有表 php artisan migrate #4.还原数据库并且再次运行以确保数据库是最新的。

4K3 0

你的镜像安全吗？

以非Root用户运行容器镜像默认情况下，Docker授予容器中进程的root权限，这意味着它们具有对容器和主机环境的完全管理访问权限。...一般来说，就像我们不会在标准Linux服务器上以root身份运行进程一样，我们大部分容器应用部署时，也不会在容器中以root身份运行。...如何防止容器以root权限运行如果不确定基础镜像使用什么权限，应该强制使用自定义用户的非root用户或用户组。...指定非root用户 Docker run命令中的-user选项将覆盖Dockerfile中指定的任何用户。...因此，最好在Dockerfile中指定一个非root用户，以便您的容器始终安全运行。 $ docker run --user 1009 centos:7 2.

1.9K2 0

如何在Ubuntu 18.04上使用Kubeadm创建Kubernetes 1.11集群

两个工作节点工作节点是运行工作负载（即容器化应用程序和服务）的服务器。一旦工作节点分配了工作负载，它将继续运行您的工作负载，即使主计划在调度完成后停止工作也是如此。...运行Ubuntu 18.04且内存至少为1GB的三台服务器。您应该能够以SSH密钥对的root用户身份SSH到每个服务器。将Ansible安装在您的本地计算机上。熟悉Ansible剧本。...在主服务器组中，有一个名为“master”的服务器条目，其中列出了主节点的IP（master_ip），并指定Ansible应以root用户身份运行远程命令。...同样，在工作服务器组中，有两个工作服务器（worker_1_ip和worker_2_ip）条目，它们也指定ansible_user为root用户。...pod，即使pod在群集生命周期内崩溃也是如此。

2.8K0 0

如何部署 Kubernetes 集群

两个工作节点工作节点是运行工作负载（即容器化应用程序和服务）的服务器。一旦工作节点分配了工作负载，它将继续运行您的工作负载，即使主计划在调度完成后停止工作也是如此。...运行Ubuntu 18.04且内存至少为1GB的三台服务器。您应该能够以SSH密钥对的root用户身份SSH到每个服务器。将Ansible安装在您的本地计算机上。熟悉Ansible剧本。...在主服务器组中，有一个名为“master”的服务器条目，其中列出了主节点的IP（master_ip），并指定Ansible应以root用户身份运行远程命令。...同样，在工作服务器组中，有两个工作服务器（worker_1_ip和worker_2_ip）条目，它们也指定ansible_user为root用户。...pod，即使pod在群集生命周期内崩溃也是如此。

2K5 2

docker使用过程中需要留意的几个知识点

Docker 服务器可以与客户端运行在同一台机器上，也可以在虚拟机中运行，也可以是本地、远程或云中的。...使用多步构建工具，构建和运行所需要的环境不同通过多阶段构建，您可以在 Dockerfile 中使用多个FROM语句。每条FROM指令都可以使用不同的基础镜像，它们中的每一条都开始了构建的新阶段。...使用最小权限用户如果 Dockerfile 中没有指定 USER ，Docker 默认将会以超级用户 root 的身份运行容器，容器所属的命名空间（namespace）因此镜像为 root 用户所拥有...不仅如此，以 root 用户身份运行容器，还扩大了攻击面，如果容器应用中存在安全漏洞，很容易造成权限提升。在实践中，一般不需要容器拥有 root 权限。...为了尽量降低安全威胁，创建专门的用户和用户组，在 Dockerfile 中使用 USER 指定用户，确保以最小权限的用户身份运行容器应用。

6884 0

Docker 和 Kubernetes：root 与特权

K8sMeetup 作为 root 运行 Docker 允许其在主机操作系统上隔离进程、功能和文件系统，并且实际上，大多数容器默认以 root 身份运行。...通常这可以简化调试过程，尤其是在我们要 exec 到容器时。尽管 root 用户的 Linux 功能非常有限，但最好还是避免以 root 用户身份运行。...K8sMeetup 避免以 root 身份运行尽管在容器内部以 root 身份运行是非常正常的事，但是如果我们想要强化容器，仍然需要避免这种情况。...有两种避免以 root 用户身份运行的方法。...即使 root 在容器内部，在正常操作中，Docker 也会限制容器的 Linux 功能，例如限制 CAP_AUDIT_WRITE，它允许覆盖内核的审计日志，这是容器化工作负载不太需要的功能。

1.6K3 0

docker 实用工具 gosu 和 su-exec 实践

Docker 会以 root 权限，先创建该目录，再挂载。这就导致，即使 host 与 container 的 UID 都是 1000，也会出现无写权限的情况。...当指定了 ENTRYPOINT 后，CMD 的含义就发生了改变，不再是直接的运行其命令，而是将 CMD 的内容作为参数传给 ENTRYPOINT 指令。...root 的话, 那么创建和修改 LOG_PATH 目录权限，并切换到 www-data 的身份，带上剩余的参数，再次运行 docker-entrypoint.sh 文件（" 当再次执行该脚本时由于已经不是...脚本，可以在容器运行时强制把目录权限修改成需要的权限，即使 docker 通过 root 用户初始化创建的 volume 挂载目录。...如此一来，就可以通过容器中的普通用户来运行程序，并在这个普通的权限的目录中写入文件。 - END -

1.3K2 0

docker与gosu

容器中不要使用root账号 gosu是个工具，用来提升指定账号的权限，作用与sudo命令类似，而docker中使用gosu的起源来自安全问题； docker容器中运行的进程，如果以root身份运行的会有安全隐患...因此，容器内使用非root账号运行进程才是安全的方式，这也是我们在制作镜像时要注意的地方。...在镜像中创建非root账号既然不能用root账号，那就要创建其他账号来运行进程了，以redis官方镜像的Dockerfile为例，来看看如何创建账号，如下图，地址是：https://github.com...在docker-entrypoint.sh执行的时候已经是redis身份了，如果遇到权限问题，例如一些文件只有root账号有读、写、执行权限，用sudo xxx命令来执行即可；但事实并非如此！...在Dockerfile脚本中未发现USER redis命令，这意味着执行docker-entrypoint.sh文件的身份是root；其次，在docker-entrypoint.sh中没有发现su

3.9K5 1

使用 Docker 和 Traefik 搭建 Flarum 轻论坛应用

我们默认不允许在已经运行起来的软件中执行插件卸载（删除程序部分文件），所以最后一点提到的 composer 可以在本地安装，或者干脆不进行安装。...: ${DB_USER} MYSQL_PASSWORD: ${DB_PASS} MYSQL_ROOT_PASSWORD: ${DB_ROOT_PASS} volumes:...--filename=composer Composer 在国内下载比较慢，这里可以选择借助阿里云的加速镜像，使用方法很简单，就一条命令。...对程序运行框架做优化程序的安装部分已经结束了，但是考虑到后续的维护，我们还需要做一些额外的工作。...让应用自适应运行环境应用安装完毕，我们再次查看应用目录，发现目录中多了一个 config.php 文件。

1.4K2 0

Docker部署完整的PHP-RPC-Golang环境

基本架构我们用PHP的Laravel框架来实现一个用户登录的Restful Api，地址为： POST /user/login 返回信息为用户Id以及JWT token。...&& composer config -g repo.packagist composer https://packagist.phpcomposer.com 创建image： docker build...开发golang服务在GOPATH下面创建一个user目录，user下面再创建一个userrpc目录，将刚刚生成的userrpc.pb.go放到userrpc目录中。...-t userrpc:v1.0 运行服务： docker run -p 50051:50051 -d userrpc:v1.0 trace服务和这个步骤完全一样，就不复述了。...打开www/demo目录下的composer.json，在classmap下添加一行： GPBMetadata 然后执行： composer dump-autoload 编辑www/demo/routes

2.1K5 0

关于容器中镜像构建的安全问题

---- 一、权限管理 1.避免以容器以root身份运行在Openshift与k8s环境中默认容器需要以非root身份运行，使用root身份运行的情况很少，所以不要忘记在dockerfile中包含USER...指令，以将启动容器时默认有效的UID 更改为非 root 用户。...以非 root 身份运行需要在 Dockerfile 中做的两个步骤： •确保USER指令中指定的用户存在于容器内。•在进程将要读取或写入的位置提供适当的文件系统权限。...2.可执行文件权限应为root用户拥有但不可写容器中的每个可执行文件都应该由 root 用户拥有，即使它由非 root 用户执行，并且不应该是全局可写的。...在复制文件到镜像时，即使文件在 Dockerfile 的后续指令中被删除，它仍然可以在之前的层上访问。因为镜像分层原理，你的文件并没有真正被删除，只是“隐藏”在最终文件系统中。

9981 0

如何使用docker搭建一天全家桶开发环境

+ clone项目：$ git clone https://gitee.com/bruce_qiq/php_dnmp 如果不是root用户，还需将当前用户加入docker用户组：$ sudo gpasswd...让文件起效：source ~/.bashrc 在主机的任何目录下就能用composer了：cd ~/dnmp/www/ composer create-project yeszao/fastphp...再执行composer命令，以PHP7容器为例： docker exec -it php /bin/sh cd /www/localhost composer update 4.管理命令 4.1 服务器启动和构建命令...首先，在主机中查看可用的容器： $ docker ps # 查看所有运行中的容器 $ docker ps -a # 所有容器输出的NAMES那一列就是容器的名称，如果使用默认配置...6.数据库管理本项目默认在docker-compose.yml中开启了用于MySQL在线管理的phpMyAdmin，以及用于redis在线管理的phpRedisAdmin，可以根据需要修改或删除。

2K2 0

浅析Docker运行安全

以非常精细的级别向非root用户添加特权。功能适用于文件和线程。文件功能允许用户以更高的特权执行程序。这类似于setuid位的工作方式。线程功能跟踪正在运行的程序中功能的当前状态。...2.18 不共享主机用户命名空间，禁用—users=host 默认情况下，Docker守护程序以root身份运行。这使守护程序可以创建并使用启动容器所需的内核结构。但是，它也存在潜在的安全风险。...2.29 docker exec 命令不使用—user=root选项在docker exec命令中使用—user=root选项，会以root用户身份在容器内执行命令。...例如，如果容器以tomcat用户（或任何其他非root用户）身份运行，则可以使用—user=root选项通过docker exec以root身份运行命令。...string 定义容器主机名 —init 在容器中运行初始化，以转发信号并获取进程 -i, —interactive 即使没有连接，也保持STDIN开放 —ip string 设定容器的 IPv4 地址

2.8K1 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云

扫码加入开发者社群

相关资讯

热门标签

活动推荐

运营活动

活动名称

广告关闭