当在运行容器时，默认都是以root的账号进行启动的，但这个root账号和宿主机的root账号的权限是不一样的，会受到 capabilities的限制。那如果是非特权的容器，使用容器的root账号启动是否安全呢？

举例

启动一个centos1的容器

docker run -d --name centos1 -v /etc:/mnt centos:v1 sleep 3600

这时尝试修改 /mnt/shadow文件，这个就是宿主机的/etc/shadow文件

docker exec -it centos1 bash -c "echo hello>>/mnt/shadow"

在主机上，查看 /etc/shadow ，主机的文件被修改了

解决方式

1.普通用户运行

可以指定一个普通用户uid,通过 docker -u参数进行指定

[root@master bin]# docker run -d -u 5566:5566 --name centos1 -v /etc:/mnt centos:v1 sleep 3600

再次进行修改文件

[root@master bin]# docker exec -it centos1 /bin/bash
bash-4.2$ echo hello>>/mnt/shadow
bash: /mnt/shadow: Permission denied

也可以在Dockerfile中使用新建用户,这要就不需要启动容器时增加-u，如

FROM centos:7.6.1810
RUN adduser -u 5566 testuser
RUN yum install -y iptables
USER testuser

但因为用户的uid在整个节点上是共享的，容器里的uid与宿主机的uid可能会有冲突，这时就需要使用User Namespace

2. User NameSpace

首先要启用docker的user namespace，修改 /etc/docker/daemon.json 文件，增加以下配置

{
  "userns-remap": "default"
}

重启后，docker会默认创建一个dockermap的用户

[root@master nonuser]# cat /etc/subuid
dockremap:165536:65536

uid 从165536开始，可以创建65536个，这时重新创建容器，但这时可能docker会有异常：nsenter: failed to unshare namespaces: Invalid argument

创建了user namespace后，docker在新主机上会生成新的目录，这时会看不到原来的image了

因为系统默认的用户命名空间最大数量可能是0，需要调整 /proc/sys/user/max_user_namespaces的值，如果为0，则可以通过以下方式进行调整

sysctl user.max_user_namespaces=15000

容器启动后，查看容器的user,会和宿主机上的用户绑定一个映射关系，在宿主机上看到的用户id就是从userns中分配的

这时重新修改 /mnt/shadow时，是会报错的

总结

1. 在没有user namespace的前提下，容器里的root和宿主机上的root的uid是一样的，有可能会存在安全问题
2. 通过 user namespace的处理，可以将容器里的root账号映射到宿主机的普通用户
3. docker 在官网已经有支持 rootless container的方式 ，也就是以非root用户来启动和管理容器。

往期回顾

权限细分，原来root在容器里也不是万能的