2014-07-03 63 views
35

我想爲了用戶切換到tomcat7用戶設置SSH證書。泊塢窗圖像內的用戶切換到非root用戶

當我做su tomcat7,什麼都不會發生。

whoamisu tomcat7

做一個more /etc/passwd後仍ruturns根,我得到以下結果清楚地表明,tomcat7用戶存在:

root:x:0:0:root:/root:/bin/bash 
daemon:x:1:1:daemon:/usr/sbin:/bin/sh 
bin:x:2:2:bin:/bin:/bin/sh 
sys:x:3:3:sys:/dev:/bin/sh 
sync:x:4:65534:sync:/bin:/bin/sync 
games:x:5:60:games:/usr/games:/bin/sh 
man:x:6:12:man:/var/cache/man:/bin/sh 
lp:x:7:7:lp:/var/spool/lpd:/bin/sh 
mail:x:8:8:mail:/var/mail:/bin/sh 
news:x:9:9:news:/var/spool/news:/bin/sh 
uucp:x:10:10:uucp:/var/spool/uucp:/bin/sh 
proxy:x:13:13:proxy:/bin:/bin/sh 
www-data:x:33:33:www-data:/var/www:/bin/sh 
backup:x:34:34:backup:/var/backups:/bin/sh 
list:x:38:38:Mailing List Manager:/var/list:/bin/sh 
irc:x:39:39:ircd:/var/run/ircd:/bin/sh 
gnats:x:41:41:Gnats Bug-Reporting System (admin):/var/lib/gnats:/bin/sh 
nobody:x:65534:65534:nobody:/nonexistent:/bin/sh 
libuuid:x:100:101::/var/lib/libuuid:/bin/sh 
messagebus:x:101:104::/var/run/dbus:/bin/false 
colord:x:102:105:colord colour management daemon,,,:/var/lib/colord:/bin/false 
saned:x:103:106::/home/saned:/bin/false 
tomcat7:x:104:107::/usr/share/tomcat7:/bin/false 

我試圖解決這是哈德遜錯誤:

Command "git fetch -t [email protected]________.co.za:_______/_____________.git +refs/heads/*:refs/remotes/origin/*" returned status code 128: Host key verification failed. 

這是我的Dockerfile,它需要一個現有的哈德森戰爭文件nd配置爲tarred並且構建映像,hudson運行良好,但由於用戶tomcat7中不存在證書,它只是無法訪問git。

FROM debian:wheezy 

# install java on image 
RUN apt-get update 
RUN apt-get install -y openjdk-7-jdk tomcat7 

# install hudson on image 
RUN rm -rf /var/lib/tomcat7/webapps/* 
ADD ./ROOT.tar.gz /var/lib/tomcat7/webapps/ 

# copy hudson config over to image 
RUN mkdir /usr/share/tomcat7/.hudson 
ADD ./dothudson.tar.gz /usr/share/tomcat7/ 
RUN chown -R tomcat7:tomcat7 /usr/share/tomcat7/ 

# add ssh certificates 
RUN mkdir /root/.ssh 
ADD ssh.tar.gz /root/ 

# install some dependencies 
RUN apt-get update 
RUN apt-get install --y maven 
RUN apt-get install --y git 
RUN apt-get install --y subversion 

# background script 
ADD run.sh /root/run.sh 
RUN chmod +x /root/run.sh 

# expose port 8080 
EXPOSE 8080 


CMD ["/root/run.sh"] 

我使用的是最新版本的泊塢窗(泊塢版本1.0.0,建立63fe64c/1.0.0),這是碼頭工人的錯誤還是我失去了我的Dockerfile的東西嗎?

+1

是你知道['USER'](http://docs.docker.com/reference/builder/#user)Dockerfile指令? – icecrime

+1

不,你有什麼建議我使用它? –

+0

是否可以使用USER指令通過Dockerfile生成證書? –

回答

46

您不應該在dockerfile中使用su,但是您應該在Dockerfile中使用USER指令。

在Dockerfile建設的每一個階段,一個新的容器中創建因此您對用戶的任何變化將不會在未來建設階段持續。

例如:

RUN whoami 
RUN su test 
RUN whoami 

這絕不會說用戶會test作爲一個新的容器2號WHOAMI催生。輸出將在兩個根上(除非你事先運行USER)。

然而,如果你這樣做:

RUN whoami 
USER test 
RUN whoami 

您應該看到root然後test

或者你可以像

sudo -u test whoami 

爲不同的用戶運行一個命令使用sudo的東西,但似乎不如使用官方支持的指令。

+3

得到它的工作,用戶似乎是正確的路要走。 –

+0

我很好奇如何確保先前運行的命令可用於在Dockerfile中設置的用戶。 [我有一個問題](http://stackoverflow.com/questions/36183585/how-can-one-influence-the-order-of-run-commands-in-a-dockerfile)先前設置的文件夾和權限使用'USER'指令切換到另一個用戶後root不可用。 –

-6

有這樣做沒有真正的方法。因此,像mysqld_safe這樣的失敗,你不能在Debian docker容器中安裝mysql-server,而不會跳過40個箍環,因爲......呃......如果它不是root,它會中止。

您可以使用用戶,但您將無法使用apt-get安裝,如果你不是根。

+5

因此,更改用戶後 –

10

作爲一種不同的方法,以對方的回答,而不是指示後對本Dockerfile圖像創建用戶,可以通過命令行上作爲每個命令的基礎的特定容器這樣做。

隨着docker exec,使用--user指定哪些用戶帳戶交互終端將使用(容器應運行,並且用戶在集裝箱系統中存在):

docker exec -it --user [username] [container] bash 

https://docs.docker.com/engine/reference/commandline/exec/