-
4 個(gè)超實(shí)用的 Docker 鏡像構(gòu)建技巧
最近做了一個(gè)好玩的工具,叫 xbin.io?。其中有一項(xiàng)工作是為不同的工具來構(gòu)建 Docker 鏡像,讓他們都運(yùn)行在 Docker 中(實(shí)際上,是兼容 Docker image 的其他 ?sandbox 系統(tǒng),沒有直接用 Docker)。支持的工具越來越多,為了節(jié)省資源,Build 的 Docker image ?就越小越好,文件越少,其實(shí)啟動(dòng)速度也會(huì)略微快一些,也會(huì)更安全一些。 這篇文章來介紹一下做 Docker Image 的一些技巧。 在之前的博客 Docker (容器) 的原理中介紹過 …
-
Docker 容器默認(rèn)root賬號(hào)運(yùn)行,很不安全!
默認(rèn)情況下,容器中的進(jìn)程以 root 用戶權(quán)限運(yùn)行,并且這個(gè) root 用戶和宿主機(jī)中的 root 是同一個(gè)用戶。聽起來是不是很可怕,因?yàn)檫@就意味著一旦容器中的進(jìn)程有了適當(dāng)?shù)臋C(jī)會(huì),它就可以控制宿主機(jī)上的一切!本文我們將嘗試了解用戶名、組名、用戶 id(uid)和組 id(gid)如何在容器內(nèi)的進(jìn)程和主機(jī)系統(tǒng)之間映射,這對于系統(tǒng)的安全來說是非常重要的。 說明:本文的演示環(huán)境為 ubuntu 16.04 (下圖來自互聯(lián)網(wǎng))。 先來了解下?uid?和?gid uid 和 gid 由 Linux 內(nèi)核負(fù)…
