摘要:問題產(chǎn)生原因最近在使用的時候經(jīng)常遇到權(quán)限問題。如果權(quán)限不夠,就會出現(xiàn)問題。從上圖可以看到,主進(jìn)程的擁有者是,可以讀寫任何文件,權(quán)限肯定沒問題。要解決這個問題,其實(shí)就是讓用戶有權(quán)讀寫以及其中的文件。
問題產(chǎn)生原因
最近在使用docker的時候經(jīng)常遇到權(quán)限問題。
通過這個stackoverflow回答,我明白了問題出現(xiàn)的主要原因:Docker在進(jìn)行bind mount的時候,或者在進(jìn)行COPY的時候,會保持文件的權(quán)限比特位(比如755)、owner ID(比如1000)、group ID(比如1000)與宿主機(jī)器上的來源文件相同。而【docker容器主進(jìn)程的owner ID】(比如www-data(33))往往與【宿主機(jī)器上的文件的owner ID】(比如xiaoming(1000))不一樣。如果【docker容器主進(jìn)程的owner】沒有權(quán)限讀/寫這個文件,那么bind-mounts和COPY到容器內(nèi)的文件就不會產(chǎn)生我們預(yù)想的效果(比如配置文件無法被容器進(jìn)程讀取、寫入)。
如果沒有時間查看下面的最佳解決方案,可以試試這個簡單粗暴的解決方案:在宿主機(jī)器上,通過sudo chmod -R 777 /path/to/dir將被掛載的目錄的權(quán)限比特位設(shè)為777。這樣,這個目錄就能被任何用戶讀寫,包括【docker容器主進(jìn)程的owner】。但是這個方法可能會造成安全隱患,另外,git會將權(quán)限改動也視為文件變動(需要設(shè)置一下git來解決)。實(shí)例:判斷問題 查看宿主上的權(quán)限信息
使用上一篇博客介紹的查看信息命令,在宿主機(jī)器上,檢查被bind-mount或者被COPY的文件的權(quán)限信息:權(quán)限比特位(比如755)、owner ID(比如1000)、group ID(比如1000)。
查看容器內(nèi)的權(quán)限信息通過以下命令,在指定容器內(nèi)運(yùn)行一個bash:
docker exec -it container_name /bin/bash
進(jìn)入容器的bash以后,你就可以再次使用上一篇博客的查看信息命令,來查看容器中的進(jìn)程、文件、用戶信息了:
你可以驗(yàn)證一下被bind-mount、COPY的文件,它們的權(quán)限信息是否與宿主上的相同:權(quán)限比特位、owner ID、group ID。
然后,你應(yīng)該通過ps aux來查看【容器主進(jìn)程】的owner用戶是誰(如果沒有ps命令的話按照上一篇博客的指示來安裝),這個owner就是需要訪問文件的用戶,這個用戶的權(quán)限決定了這個進(jìn)程是否有權(quán)訪問【我們bind-mount、COPY到容器中的文件】。如果權(quán)限不夠,就會出現(xiàn)問題。
從上圖可以看到,主進(jìn)程的擁有者是root,root可以讀寫任何文件,權(quán)限肯定沒問題。但是主進(jìn)程還創(chuàng)建了兩個子進(jìn)程,擁有者是www-data,這個用戶有可能無法讀寫【被bind-mount或者COPY到容器內(nèi)的文件】!
因此,現(xiàn)在我們需要檢查www-data是否存在權(quán)限不足的問題,首先通過id username來查看這個用戶的 user id、primary group id、加入的所有群組 的信息:
然后,使用stat或者ls -na命令,查看【被bind-mount或者COPY到容器內(nèi)的文件】的權(quán)限信息:
上圖的/codeigniter文件夾是我通過bind-mount掛載到容器內(nèi)的??梢钥吹竭@個文件夾以及其中的文件的ownerId:groupId都是1000:1000,而www-data的ownerId:groupId是33:33。再結(jié)合這些文件的權(quán)限信息(比如-rw-rw-r--、drwx------),www-data只能讀取其中一些文件,無法寫入任何文件,/codeigniter/application/這個文件夾內(nèi)的內(nèi)容連訪問都不行!
如上圖,用stat也能看到同樣的文件信息,只不過一次只能看到一個文件或文件夾的信息。
【容器主進(jìn)程】有可能會創(chuàng)建其他的進(jìn)程一起工作(比如上面的例子),如果是這樣的話,你需要檢查所有子進(jìn)程都有權(quán)訪問自己所需的文件。
上面的例子中,/codeigniter以及其中內(nèi)容的權(quán)限比特位、owner ID、group ID都與我的宿主機(jī)器上的codeigniter文件夾相同(我登陸ubuntu的賬戶的userid就是1000)!保持文件的元數(shù)據(jù)(filesystem metadata)是docker的一個特點(diǎn),也是一個坑點(diǎn)。
實(shí)例:解決問題既然知道了問題的成因,那么我們就可以想辦法解決它了。
要解決這個問題,其實(shí)就是讓www-data用戶有權(quán)讀寫/codeigniter以及其中的文件。
有兩個思路:
改變www-data的uid和gid,從33:33變成1000:1000。這樣www-data就是這些文件的owner了,自然就有需要的權(quán)限了。改變uid和gid可以通過我上篇文章介紹的usermod命令。具體來說,就是在Dockerfile中加入這樣一句:RUN usermod -u 1000 www-data && usermod -G 1000 www-data。(其實(shí)不需要改gid的,改uid就可以成為owner了)
改變?nèi)萜鲀?nèi)/codeigniter的權(quán)限信息,使得www-data(33:33)有權(quán)讀寫它:
通過chmod命令,在宿主機(jī)器上改變codeigniter文件夾的權(quán)限比特為777。這樣,在bind-mount到容器里面以后它的權(quán)限也是777,因此任何用戶都可以讀寫它的內(nèi)容。這個方法要求修改開發(fā)環(huán)境,不太優(yōu)雅。
在構(gòu)建image時,將所有需要的文件COPY到鏡像內(nèi),然后通過Run chmod 777 -R /codeigniter使得www-data獲得讀寫權(quán)限,或者Run chown www-data:www-data -R /codeigniter使得www-data成為owner。
實(shí)際上COPY --chown=www-data:www-data ./codeigniter /codeigniter/就能一步將【被COPY的文件】的owner設(shè)置為容器內(nèi)的某個用戶。
我認(rèn)為Run chmod 777 -R /codeigniter這個解決方案是最方便省事的。
但是我不太想chmod 777,我采用的是COPY --chown=www-data:www-data ./codeigniter /codeigniter/的方案,我喜歡這種方案,因?yàn)樗?strong>只做恰到好處的修改,不多不少。要用好這個方案,我們需要知道被COPY的文件會被哪些進(jìn)程訪問、這些進(jìn)程的onwer分別是誰。
使用這個方案以后的結(jié)果:
www-data用戶的進(jìn)程可以讀寫這些文件了!
文章版權(quán)歸作者所有,未經(jīng)允許請勿轉(zhuǎn)載,若此文章存在違規(guī)行為,您可以聯(lián)系管理員刪除。
轉(zhuǎn)載請注明本文地址:http://systransis.cn/yun/27332.html
摘要:同理,對于用戶群組的刪除,分別有和,它們的也是一模一樣的。修改已有用戶用戶組修改已有用戶用戶組有關(guān)的工作,分別交給以下兩個命令對于,比較常用的參數(shù)有,它們分別修改用戶的主群組額外加入的群組用戶。要切換當(dāng)前用戶所登陸的群組,使用命令。 查看信息 查看文件、文件夾的filesystem metadata # 查看**單個**文件、文件夾的權(quán)限信息 stat filename # 或者使用以...
摘要:可運(yùn)行的和基礎(chǔ)的指令已經(jīng)在一個小型的倉庫里。然后我們可以啟動任何容器,到容器里面去對于一個教育示例,你可以這樣做容器將把日志消息發(fā)送到,其實(shí)際是通過創(chuàng)建。你可以通過使用運(yùn)行另外一個容器來查看日志,以及檢查在里面的文件。 注:該文作者 jpetazzo,該文章的原文為 Multiple Docker containers logging to a single syslog 這...
摘要:發(fā)現(xiàn)問題之后,相應(yīng)的解決方法也很簡單把當(dāng)前目錄的擁有者賦值給,再啟動容器就一切正常了。這時我們已經(jīng)可以知道容器的本地?cái)?shù)據(jù)卷中文件目錄的權(quán)限是和宿主機(jī)上一致的,只是在容器和宿主機(jī)中可能映射為不同的用戶組名稱。 Volume數(shù)據(jù)卷是Docker的一個重要概念。數(shù)據(jù)卷是可供一個或多個容器使用的特殊目錄,可以為容器應(yīng)用存儲提供有價值的特性: 持久化數(shù)據(jù)與容器的生命周期解耦:在容器刪除之后數(shù)據(jù)卷...
閱讀 2378·2021-11-18 10:07
閱讀 2335·2021-09-22 15:59
閱讀 3089·2021-08-23 09:42
閱讀 2293·2019-08-30 15:44
閱讀 1204·2019-08-29 15:06
閱讀 2330·2019-08-29 13:27
閱讀 1225·2019-08-29 13:21
閱讀 1428·2019-08-29 13:13