【Docker基础】Dockerfile指令速览：用户与权限指令详解

• USER指令用于指定在构建镜像时和运行容器时使用的用户和用户组
• 默认情况下，Docker容器以root用户运行，这可能带来安全风险，通过使用USER指令，可以降低权限，提升容器安全性

USER <user>[:<group>] USER <UID>[:<GID>]

• ：用户名或UID
• ：用户组名或GID

• 提升安全性：以非root用户运行应用，减少潜在的安全风险
• 权限管理：为不同应用或服务分配不同的用户和用户组，确保最小权限原则

• 指定运行用户：在Dockerfile中使用USER指令指定运行用户
• 用户是否存在？：判断指定的用户是否已经存在
• 切换到该用户：如果用户存在，切换到该用户
• 创建并切换到该用户：如果用户不存在，使用RUN指令创建用户，然后切换到该用户
• 后续指令以该用户身份执行：所有后续指令将以该用户身份执行

# 创建用户和用户组
RUN groupadd -r myuser && useradd -r -g myuser myuser

# 切换到该用户
USER myuser

# 以该用户身份执行后续命令
RUN whoami

• 权限管理：确保以最小权限原则运行应用，避免使用root用户
• 用户创建：如果需要创建新用户，建议在Dockerfile中明确创建，并使用USER指令切换到该用户

RUN chmod <mode> <file>

• ：权限模式，如755, 644等
• ：文件或目录的路径

• 设置文件权限：为应用文件设置合适的权限，确保安全性和功能性
• 保护敏感文件：限制对敏感文件的访问权限，防止未授权访问

• 修改文件权限：使用CHMOD指令或结合RUN指令修改文件或目录的权限
• 使用RUN指令？：判断是否使用RUN指令执行chmod命令
• 使用chmod命令：如果使用RUN指令，使用chmod命令设置权限
• 直接使用CHMOD指令：如果使用CHMOD指令，直接指定权限模式和文件路径
• 指定权限模式和文件路径：明确指定要修改的权限模式和文件路径
• 应用在容器中使用文件：应用在容器中读取和使用修改权限后的文件

RUN chmod 755 /app/start.sh

• 权限设置：合理设置文件权限，避免过度开放权限导致安全风险
• 最小权限原则：遵循最小权限原则，只赋予必要的权限

RUN chown <owner>[:<group>] <file>

• ：所有者用户名或UID
• ：用户组名或GID
• ：文件或目录的路径

• 更改文件所有者：为应用文件设置合适的所有者和用户组，确保权限正确
• 管理用户组：管理用户组权限，确保不同用户组之间的权限隔离

• 更改文件所有者：使用CHOWN指令或结合RUN指令更改文件或目录的所有者和用户组
• 使用RUN指令？：判断是否使用RUN指令执行chown命令
• 使用chown命令：如果使用RUN指令，使用chown命令设置所有者和用户组
• 直接使用CHOWN指令：如果使用CHOWN指令，直接指定所有者和文件路径
• 指定所有者和文件路径：明确指定要更改的所有者和文件路径
• 应用在容器中使用文件：应用在容器中读取和使用更改所有者后的文件

RUN chown myuser:mygroup /app/data

• 所有者设置：合理设置文件的所有者和用户组，避免权限泄漏
• 用户和用户组管理：确保用户和用户组的存在，并在Dockerfile中明确创建和管理