yum install -y 是什么意思_为什么你应该在docker 中使用gosu?
![](/assets/blank.gif)
为什么要使用gosu?
Docker容器中运行的进程,如果以root身份运行话会有安全隐患,该进程拥有容器内的全部权限,更可怕的是如果有数据卷映射到宿主机,那么通过该容器就能操作宿主机的文件夹了,一旦该容器的进程有漏洞被外部利用后果是很严重的。
因此,容器内使用非root账号运行进程才是安全的方式,这也是我们在制作镜像时要注意的地方。
而我们今天讲到的gosu 正是解决使用非root用户运行业务进程的一种最佳实践方法。
su
和sudo
具有非常奇怪且经常令人讨厌的TTY和信号转发行为的问题。su
和sudo
的设置和使用也有些复杂(特别是在sudo
的情况下),虽然它们有很大的表达力,但是如果您所需要的只是“以特定用户身份运行特定应用程序”,那么它们将不再那么适合。
处理完用户/组后,我们将切换到指定用户,然后执行指定的进程,gosu本身不再驻留或完全不在进程生命周期中。这避免了信号传递和TTY的所有问题。
概念总是晦涩的,让我们通过一些示例来加深理解。
$ docker run -it --rm ubuntu:trusty su -c 'exec ps aux'
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 46636 2688 ? Ss+ 02:22 0:00 su -c exec ps a
root 6 0.0 0.0 15576 2220 ? Rs 02:22 0:00 ps aux
$ docker run -it --rm ubuntu:trusty sudo ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 3.0 0.0 46020 3144 ? Ss+ 02:22 0:00 sudo ps aux
root 7 0.0 0.0 15576 2172 ? R+ 02:22 0:00 ps aux
$ docker run -it --rm -v $PWD/gosu-amd64:/usr/local/bin/gosu:ro ubuntu:trusty gosu root ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
root 1 0.0 0.0 7140 768 ? Rs+ 02:22 0:00 ps aux
安装gosu
对于debian:
Debian 9 ("Debian Stretch") or newer:
RUN set -eux; apt-get update; apt-get install -y gosu; rm -rf /var/lib/apt/lists/*;
# verify that the binary worksgosu nobody true
Older Debian releases (or newer gosu
releases):
ENV GOSU_VERSION 1.12
RUN set -eux;
# save list of currently installed packages for later so we can clean upsavedAptMark="$(apt-mark showmanual)"; apt-get update; apt-get install -y --no-install-recommends ca-certificates wget; if ! command -v gpg; then apt-get install -y --no-install-recommends gnupg2 dirmngr; elif gpg --version | grep -q '^gpg (GnuPG) 1.'; then
# "This package provides support for HKPS keyservers." (GnuPG 1.x only)apt-get install -y --no-install-recommends gnupg-curl; fi; rm -rf /var/lib/apt/lists/*; dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch"; wget -O /usr/local/bin/gosu.asc "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch.asc"; # verify the signatureexport GNUPGHOME="$(mktemp -d)"; gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; command -v gpgconf && gpgconf --kill all || :; rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; # clean up fetch dependenciesapt-mark auto '.*' > /dev/null; [ -z "$savedAptMark" ] || apt-mark manual $savedAptMark; apt-get purge -y --auto-remove -o APT::AutoRemove::RecommendsImportant=false; chmod +x /usr/local/bin/gosu;
# verify that the binary worksgosu --version; gosu nobody true
对于alpine(3.7+):
ENV GOSU_VERSION 1.12
RUN set -eux; apk add --no-cache --virtual .gosu-deps ca-certificates dpkg gnupg ; dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')"; wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch"; wget -O /usr/local/bin/gosu.asc "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch.asc"; # verify the signatureexport GNUPGHOME="$(mktemp -d)"; gpg --batch --keyserver hkps://keys.openpgp.org --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4; gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu; command -v gpgconf && gpgconf --kill all || :; rm -rf "$GNUPGHOME" /usr/local/bin/gosu.asc; # clean up fetch dependenciesapk del --no-network .gosu-deps; chmod +x /usr/local/bin/gosu;
# verify that the binary worksgosu --version; gosu nobody true
如何使用gosu?
一般是在entrypoint.sh
使用。
例如,Postgres Official Image使用以下脚本作为其ENTRYPOINT:
#!/bin/bash
set -eif [ "$1" = 'postgres' ]; thenchown -R postgres "$PGDATA"if [ -z "$(ls -A "$PGDATA")" ]; thengosu postgres initdbfiexec gosu postgres "$@"
fiexec "$@"
关于 exec ,大家可以查阅我之前写的文章,其作用主要是会将gosu postgres 后面命令运行的进程替换entrypoint.sh 进程作为1号进程。并且运行该进程的用户为postgres,而不是root。
拿我们线上的一个容器来举例:
entrypoint.sh为:
#! /bin/bash
set -e
chown -R xxxuser:xxxgroup /data/logs
exec gosu xxxuser tini -- myprogram -config /etc/config.prod.yaml
exec 到容器执行whoami:
sh-4.2# whoami
root
可以看到整个容器当前的用户是root。
然后查看运行我们tini 和 myprogram进程的用户:
sh-4.2# ps aux
USER PID %CPU %MEM VSZ RSS TTY STAT START TIME COMMAND
xxxuser 1 0.0 0.0 4372 368 ? Ss 18:17 0:00 tini -- myprogram -config /etc/config.prod.yaml
xxxuser 14 2.6 0.4 1015768 315868 ? Sl 18:17 1:20 myprogram -config /etc/config.prod.yaml
到了这里可能大家已经非常清楚了。
至于tini,大家可以查阅我之前的文章。
yum install -y 是什么意思_为什么你应该在docker 中使用gosu?相关推荐
- yum install -y 是什么意思_超详细的RPM与YUM 区别介绍
概述 一般Linux软件安装有这么几种方式: 通用二进制格式:直接解压压缩文件,就可以使用.但一定要注意安装平台. 软件包管理器:如RPM. 软件包管理器的前端工具:如YUM. 源代码编译. 那么其中 ...
- ElasticSearch-安装以及常见错误(自己测试过yum install -y log4j* )
ElasticSearch安装常见错误 [root@node2 ~]# yum install -y *jdk 安装java环境 [root@node2 ~]# cd /usr/local/src/ ...
- K8s报错#!/bin/bash yum install -y yum-utils device-mapper-persistent-data lvm2 if [ $? = 0 ];then echo
k8s在部署etcd单节点报错 failed to dial fab7ddbd0aa3e803 on stream Message (dial t-out) 这里需要安装docker环境,下面是doc ...
- yum install -y iptraf 显示找不到命令
yum install -y iptraf 安装成功 但是显示显示找不到命令 [root@localhost ~]# which iptrac /usr/bin/which: no iptrac i ...
- DockerBuild报错:The command ‘/bin/sh -c yum install -y vim‘ returned a non-zero code: 1
学习到dockerfile时,创建了一个dockerfile是以下的内容, FROM centos#告诉别人我是谁 MAINTAINER ccity86155<1786222759@qq.com ...
- linux yum install -y提示“没有可用软件包 sl。 错误:无须任何处理”
没有可用软件包 sl. 错误:无须任何处理 [root@localhost yum.repos.d]# yum install -y epel-release
- 运行yum install -y mssql-server命令时报错:
运行yum install -y mssql-server命令时报错:Loaded plugins: fastestmirror File contains no section headers. f ...
- 阿里云Centos8.2执行 yum install -y yum-utils 报错问题解决
目录 问题描述: 阿里云部署docker 执行yum install -y yum-utils报错 1,进入配置文件目录 2,删除所有的.repo源文件 3,下载可用的.repo文件 4,运行 yum ...
- java关闭服务_实现优雅地关闭Docker中的java服务
时至今日,Docker在项目中的应用越来越普遍了,但往往会遭遇一些麻烦,比如说,有几个请求至Docker中的服务,发起了事务处理业务,但每个事务完成可能需要1-5分钟,而此时我们正要将Docker停机 ...
最新文章
- css transform旋转属性
- 以编程方式进行NLog的配置【转】
- 浅析网站建设基本流程
- Python基础入门之解释器安装
- 【机器学习】机器学习中样本不平衡,怎么办?
- 【原创视频】Docker总体架构设计及各模块原理剖析
- 基于verilog的洗衣机设计
- java三年,Java开发三年,你不得不了解的JVM(一)
- 主题:JAVA 桥接模式
- 【Ngrok】小米球实践-内网穿透【映射本地到外网访问】
- js动态填充select
- 程序员英文简历范例(前端)
- 计算机毕业设计指导 教师 评语,毕业设计指导教师评语【集锦】
- PBR基本原理和概念以及PBR流程
- cuda学习笔记(4)
- htc系统Android 7.1,HTC太强大,被誉为刷机之王,一路升到安卓7
- stay_foolish_stay_hungry(没事多看看)
- 手机APP如何监控公司内的在线客服聊天?
- 2021年中国光纤传感器市场趋势报告、技术动态创新及2027年市场预测
- C语言 关于for循环里定义的变量
热门文章
- jvm 错误_JVM因“ OutOfMemory”错误而关闭-我该怎么办?
- 在Java中键入Safe SQL
- 每个人都在谈论硒替代品-明智地选择!
- jdk8 cms g1gc_G1 vs CMS vs平行GC
- Java更快地对基元数组进行排序?
- 功能Java示例 第2部分–讲故事
- solr 的maven_使用Maven运行Solr
- java permgen_Java 8:从PermGen到元空间
- redis 持久化性能_高性能持久消息
- jboss启动初始页面_JBoss BRMS最佳实践– BPM流程初始化层的提示