Comment ajouter des utilisateurs au conteneur Docker?

J'ai un conteneur docker avec certains processus (uwsgi et céleri) en cours d'exécution à l'intérieur. Je veux créer un utilisateur céleri et un utilisateur uwsgi pour ces processus ainsi qu'un groupe de travailleurs auquel ils appartiendront tous les deux, afin d'attribuer des autorisations.

J'ai essayé d'ajouter RUN adduser uwsgiet RUN adduser celeryà mon Dockerfile, mais cela pose des problèmes, car ces commandes demandent une entrée (j'ai publié les réponses de la build ci-dessous).

Quelle est la meilleure façon d'ajouter des utilisateurs à un conteneur Docker afin de définir des autorisations pour les travailleurs exécutés dans le conteneur?

Mon image Docker est construite à partir de la base officielle Ubuntu14.04.

Voici la sortie du Dockerfile lorsque les commandes adduser sont exécutées:

Adding user `uwsgi' ...
Adding new group `uwsgi' (1000) ... 
Adding new user `uwsgi' (1000) with group `uwsgi' ... 
Creating home directory `/home/uwsgi' ...
Copying files from `/etc/skel' ... 
[91mEnter new UNIX password: Retype new UNIX password: [0m 
[91mpasswd: Authentication token manipulation error
passwd: password unchanged
[0m 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 563.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 564.
[0m 
Try again? [y/N] 
Changing the user information for uwsgi
Enter the new value, or press ENTER for the default
    Full Name []: 
Room Number []:     Work Phone []:  Home Phone []:  Other []: 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 589.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 590.
[0m 
Is the information correct? [Y/n] 
---> 258f2f2f13df 
Removing intermediate container 59948863162a 
Step 5 : RUN adduser celery 
---> Running in be06f1e20f64 
Adding user `celery' ...
Adding new group `celery' (1001) ... 
Adding new user `celery' (1001) with group `celery' ... 
Creating home directory `/home/celery' ...
Copying files from `/etc/skel' ... 
[91mEnter new UNIX password: Retype new UNIX password: [0m 
[91mpasswd: Authentication token manipulation error
passwd: password unchanged
[0m 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 563.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 564.
[0m 
Try again? [y/N] 
Changing the user information for celery
Enter the new value, or press ENTER for the default
    Full Name []:   Room Number []:     Work Phone []: 
Home Phone []:  Other []: 
[91mUse of uninitialized value $answer in chop at /usr/sbin/adduser line 589.
[0m 
[91mUse of uninitialized value $answer in pattern match (m//) at /usr/sbin/adduser line 590.
[0m 
Is the information correct? [Y/n] 

L'astuce consiste à utiliser à la useraddplace de son wrapper interactif adduser. Je crée généralement des utilisateurs avec:

RUN useradd -ms /bin/bash newuser

qui crée un répertoire personnel pour l'utilisateur et garantit que bash est le shell par défaut.

Vous pouvez ensuite ajouter:

USER newuser
WORKDIR /home/newuser

à votre dockerfile. Chaque commande ainsi que les sessions interactives seront exécutées en tant qu'utilisateur newuser:

docker run -t -i image
newuser@131b7ad86360:~$

Vous devrez peut-être donner newuserles autorisations pour exécuter les programmes que vous souhaitez exécuter avant d'appeler la commande utilisateur.

L'utilisation d'utilisateurs non privilégiés à l'intérieur des conteneurs est une bonne idée pour des raisons de sécurité. Il présente également quelques inconvénients. Plus important encore, les personnes dérivant des images de votre image devront revenir à la racine avant de pouvoir exécuter des commandes avec des privilèges de superutilisateur.

Pour éviter les questions interactives par adduser, vous pouvez l'appeler avec ces paramètres:

RUN adduser --disabled-password --gecos '' newuser

Le --gecosparamètre est utilisé pour définir les informations supplémentaires. Dans ce cas, il est juste vide.

Sur les systèmes avec busybox (comme Alpine), utilisez

RUN adduser -D -g '' newuser

Voir addbox busybox

Ubuntu

Essayez les lignes suivantes dans Dockerfile:

RUN useradd -rm -d /home/ubuntu -s /bin/bash -g root -G sudo -u 1001 ubuntu
USER ubuntu
WORKDIR /home/ubuntu

useraddoptions (voir:) man useradd:

• -r, --systemCréez un compte système. ^{voir: Implications de la création de comptes système}
• -m, --create-homeCréez le répertoire personnel de l'utilisateur.
• -d, --home-dir HOME_DIRRépertoire personnel du nouveau compte.
• -s, --shell SHELLShell de connexion du nouveau compte.
• -g, --gid GROUPNom ou ID du groupe principal.
• -G, --groups GROUPSListe des groupes supplémentaires.
• -u, --uid UIDSpécifiez l'ID utilisateur. ^{voir: Comprendre comment uid et gid fonctionnent dans les conteneurs Docker}
• -p, --password PASSWORDMot de passe crypté du nouveau compte (par exemple ubuntu).

Définition du mot de passe de l'utilisateur par défaut

Pour définir le mot de passe utilisateur, ajoutez -p "$(openssl passwd -1 ubuntu)"à la useraddcommande.

Vous pouvez également ajouter les lignes suivantes à votre Dockerfile:

SHELL ["/bin/bash", "-o", "pipefail", "-c"]
RUN echo 'ubuntu:ubuntu' | chpasswd

La première instruction shell est de s'assurer que cette -o pipefailoption est activée avant RUNavec un tube dedans. En savoir plus: Hadolint: Linting your Dockerfile .

Ajouter un utilisateur dans Docker et exécuter votre application sous cet utilisateur est une très bonne pratique pour le point de vue de la sécurité. Pour ce faire, je recommanderais les étapes ci-dessous:

FROM node:10-alpine

# Copy source to container
RUN mkdir -p /usr/app/src

# Copy source code
COPY src /usr/app/src
COPY package.json /usr/app
COPY package-lock.json /usr/app

WORKDIR /usr/app

# Running npm install for production purpose will not run dev dependencies.
RUN npm install -only=production    

# Create a user group 'xyzgroup'
RUN addgroup -S xyzgroup

# Create a user 'appuser' under 'xyzgroup'
RUN adduser -S -D -h /usr/app/src appuser xyzgroup

# Chown all the files to the app user.
RUN chown -R appuser:xyzgroup /usr/app

# Switch to 'appuser'
USER appuser

# Open the mapped port
EXPOSE 3000

# Start the process
CMD ["npm", "start"]

Les étapes ci-dessus sont un exemple complet de la copie de fichiers de projet NodeJS, de la création d'un groupe d'utilisateurs et d'un utilisateur, de l'attribution d'autorisations à l'utilisateur pour le dossier du projet, du passage à l'utilisateur nouvellement créé et de l'exécution de l'application sous cet utilisateur.

Vous pouvez imiter Dockerfile open source, par exemple:

Noeud: node12-github

RUN groupadd --gid 1000 node \
    && useradd --uid 1000 --gid node --shell /bin/bash --create-home node

surensemble: superset-github

RUN useradd --user-group --create-home --no-log-init --shell /bin/bash 
    superset

Je pense que c'est un bon moyen de suivre l'open source.

Chacun a son favori personnel, et voici le mien:

RUN useradd --user-group --system --create-home --no-log-init app
USER app

Référence: man useradd

La RUNligne ajoutera l'utilisateur et le groupe app:

root@ef3e54b60048:/# id app
uid=999(app) gid=999(app) groups=999(app)

Utilisez un nom plus spécifique que appsi l'image doit être réutilisée comme image de base. En aparté, indiquez --shell /bin/bashsi vous en avez vraiment besoin.

Crédit partiel: réponse de Ryan M

Alternativement, vous pouvez faire comme ça.

RUN addgroup demo && adduser -DH -G demo demo

La première commande crée un groupe appelé démo . La deuxième commande crée l' utilisateur de démonstration et l'ajoute au groupe de démonstration précédemment créé .

Drapeaux signifie:

-G Group
-D Don't assign password
-H Don't create home directory

Ajoutez cette ligne à votre Dockerfile (vous pouvez exécuter n'importe quelle commande linux de cette façon)

RUN useradd -ms /bin/bash yourNewUserName