Обычно Docker-контейнеры запускаются с использованием пользователя root. Я хотел бы использовать другого пользователя, что без проблем с использованием директивы USER docker. Но этот пользователь должен иметь возможность использовать sudo внутри контейнера. Эта команда отсутствует.
Вот простой Dockerfile для этой цели:
FROM ubuntu:12.04
RUN useradd docker && echo "docker:docker" | chpasswd
RUN mkdir -p /home/docker && chown -R docker:docker /home/docker
USER docker
CMD /bin/bash
Запустив этот контейнер, я вошел в систему с пользователем 'docker'. Когда я пытаюсь использовать sudo, команда не найдена. Поэтому я попытался установить пакет sudo внутри моего Dockerfile, используя
RUN apt-get install sudo
Это приводит к невозможности найти пакет sudo
Только что получил. Как отметил Режан, мне пришлось добавить пользователя в группу sudoers. Но основная причина заключалась в том, что я забыл обновить кеш репозиториев, поэтому apt-get не смог найти пакет sudo. Он работает сейчас. Здесь полный код:
FROM ubuntu:12.04
RUN apt-get update && \
apt-get -y install sudo
RUN useradd -m docker && echo "docker:docker" | chpasswd && adduser docker sudo
USER docker
CMD /bin/bash
Другие ответы не спомогли мне. Я продолжил поиск и нашел сообщение в блоге, в котором рассказывалось о том, как команда работает без полномочий root внутри контейнера докера.
Вот версия TL; DR:
RUN apt-get update
RUN apt-get install sudo
RUN adduser --disabled-password --gecos '' docker
RUN adduser docker sudo
RUN echo '%sudo ALL=(ALL) NOPASSWD:ALL' >> /etc/sudoers
USER docker
# this is where I was running into problems with the other approaches
RUN sudo apt-get update
Я использовал для этого FROM node:9.3, но я подозреваю, что другие аналогичные базы контейнеров также будут работать.
Если в контейнере нет ни sudo, ни apt-get, вы также можете перейти в запущенный контейнер от имени пользователя root с помощью команды
docker exec -u root -t -i container_id /bin/bash
если вы хотите подключиться к контейнеру и установить что-то
используя apt-get
первый, как указано выше, ответ нашего брата "Tomáš Záluský"
docker exec -u root -t -i container_id /bin/bash
затем попробуйте
ЗАПУСТИТЕ apt-get update или apt-get 'все, что вы хотите'
это работало со мной, надеюсь, это полезно для всех
Для тех, у кого есть эта проблема с уже работающим контейнером, и они не обязательно хотят перестраивать, следующая команда подключается к работающему контейнеру с привилегиями root:
docker exec -ti -u root container_name bash
Вы также можете подключиться, используя его идентификатор, а не имя, найдя его с помощью:
docker ps -l
Чтобы сохранить изменения, чтобы они оставались при следующем запуске контейнера (или кластера docker-compose):
docker commit container_id image_name
Чтобы запустить контейнер, который не запущен, и подключиться от имени пользователя root:
docker run -ti -u root --entrypoint=/bin/bash container_name -s
Чтобы скопировать из работающего контейнера:
docker cp <containerId>:/file/path/within/container /host/path/target
Чтобы экспортировать копию изображения:
docker save container | gzip > /dir/file.tar.gz
Который вы можете восстановить в другой установке Docker, используя:
gzcat /dir/file.tar.gz | docker load
Это гораздо быстрее, но занимает больше места, чтобы не сжиматься, используя:
docker save container | dir/file.tar
А:
cat dir/file.tar | docker load
Если у вас есть контейнер, работающий от имени пользователя root и запускающий скрипт (который вы не можете изменить), которому нужен доступ к команде sudo, вы можете просто создать новый скрипт sudo в вашем $PATH который вызывает переданную команду.
Например, в вашем Dockerfile:
RUN if type sudo 2>/dev/null; then \
echo "The sudo command already exists... Skipping."; \
else \
echo -e "#!/bin/sh\n\${@}" > /usr/sbin/sudo; \
chmod +x /usr/sbin/sudo; \
fi
Вот как я настраиваю пользователя без полномочий root с базовым образом ubuntu:18.04:
RUN \
groupadd -g 999 foo && useradd -u 999 -g foo -G sudo -m -s /bin/bash foo && \
sed -i /etc/sudoers -re 's/^%sudo.*/%sudo ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
sed -i /etc/sudoers -re 's/^root.*/root ALL=(ALL:ALL) NOPASSWD: ALL/g' && \
sed -i /etc/sudoers -re 's/^#includedir.*/## **Removed the include directive** ##"/g' && \
echo "foo ALL=(ALL) NOPASSWD: ALL" >> /etc/sudoers && \
echo "Customized the sudoers file for passwordless access to the foo user!" && \
echo "foo user:"; su - foo -c id
Что происходит с приведенным выше кодом:
foo созданы.foo добавлен в группу foo и sudo.uid и gid установлены на значение 999./home/foo./bin/bash.sed выполняет встроенные обновления файла /etc/sudoers, чтобы предоставить пользователям foo и root доступ без пароля к группе sudo.sed отключает директиву #includedir, которая позволяет любым файлам в подкаталогах переопределять эти встроенные обновления.Это может не работать для всех изображений, но некоторые изображения уже содержат пользователя root, например в образе jupyterhub/singleuser. С этим изображением это просто:
USER root
RUN sudo apt-get update
Если у вас еще нет пользователя root, вам не повезло.