Docker 切换普通用户指南

在 Docker 中使用普通用户而非 root 用户可以提高安全性，以下是几种切换普通用户的方法：

1. 在 Dockerfile 中指定用户

FROM ubuntu:latest
RUN groupadd -r myuser && useradd -r -g myuser myuser
USER myuser
WORKDIR /home/myuser

2. 在运行容器时指定用户

# 使用 -u 参数指定用户ID
docker run -u 1000:1000 -it ubuntu bash

# 或者使用用户名（需确保用户已存在）
docker run -u myuser -it ubuntu bash

3. 使用现有主机的用户

# 使用当前主机用户
docker run -u $(id -u):$(id -g) -it ubuntu bash

4. 在运行的容器中切换用户

# 进入容器
docker exec -it container_name bash

# 然后切换用户
su - myuser

5. 使用 docker-compose 指定用户

version: '3'
services:
  myservice:
    image: ubuntu
    user: "1000:1000"

注意事项

1. 权限问题：普通用户可能没有某些目录的访问权限，需要提前设置好
2. 用户必须存在：容器内需要先创建该用户才能切换
3. 文件所有权：挂载卷时注意文件所有权问题
4. 特权操作：普通用户无法执行某些需要特权的操作

最佳实践

• 避免使用 root 用户运行容器
• 在 Dockerfile 中创建专用用户
• 使用非特权用户ID（大于1000）
• 限制容器内用户的权限

通过以上方法，您可以安全地在 Docker 中使用普通用户而非 root 用户运行容器。