Недавно задался вопросом одного пользовательского пространства для Docker, можно конечно использовать проброс папок (/etc/passwd, /etc/shadow, /etc/groups) и т.д., но мне этот метод показался не очень удобным, по этому я обратился к документации: https://docs.docker.com/engine/security/userns-remap/ последовав документации внес изменения в демон docker-а:
# cat /etc/docker/daemon.json
{
"userns-remap": "yakunin"
}Но к сожалению при запуске понял что минимальный uid должен начинаться с 100000. А мой пользователь имел uid 1000, ну что ж, не беда, немного повозившись с groups и passwd, перегружаемся и вуаля, пользователь root внутри контейнера имеет тот же uid что и локальный.
# id -u
100000
# ls -la data
total 16
drwxr-xr-x 4 yakunin yakunin 4096 Jun 27 18:43 .
drwxrwxr-x 3 yakunin yakunin 4096 Jun 27 18:43 ..
drwxr-xr-x 2 yakunin yakunin 4096 Jun 27 18:45 conf.d
drwxr-xr-x 2 yakunin yakunin 4096 Jun 27 18:47 wwwЭто полезно когда мы используем не классические volumes, а именно мы указываем проброс папок в локальную папку откуда идет исполнение. Проблема в том, что изначально docker работает от пользователя root. По этому все создаваемые docker или docker compose папки будут с владельцем root, что не очень удобно, особенно если вам надо редактировать эти файлы часто. Например мой кусок docker-compose.yaml
nginx:
image: nginx:latest
container_name: nginx
hostname: nginx
build: .
restart: always
volumes:
- ./data/www:/var/www
- ./data/conf.d:/etc/nginx/conf.d
tty: true
ports:
- 80:80
cap_drop:
- NET_ADMIN
- SYS_ADMIN
ulimits:
memlock:
soft: -1
hard: -1
deploy:
restart_policy:
condition: on-failure
delay: 5s
max_attempts: 3
window: 120s
resources:
limits:
memory: 50M
logging:
driver: "json-file"
options:
max-size: "50m"
max-file: 2