docker - Docker userns-remap 用户拥有的文件最终由容器内的任何人拥有

问题描述

我正在搞乱 Docker 用户命名空间重新映射：https ://docs.docker.com/engine/security/userns-remap/

我通过修改/etc/docker/daemon.json. 内容目前如下所示：

{
  "userns-remap": "default"
}

我已经重新启动了 Docker 守护进程。默认dockremap用户是按照文档的承诺创建的：

user@host:~$ id dockremap
uid=125(dockremap) gid=134(dockremap) groups=134(dockremap)

中还有一个条目/etc/subuid：

dockremap:165536:65536

现在，我有一个包含共享文件的文件夹，我希望将其绑定安装在容器中以使其可供读取。在主机操作系统上，该文件具有以下所有者和权限设置：

-rwxrwx--- 1 dockremap dockremap 0 april 8 19:19 shared_file.txt

该文件不应该是世界可写的。我的实际意图是在主机操作系统和容器之间安全地共享一个包含一些秘密信息的文件。

如果父目录有任何区别，则它是全局可写的：

drwxrwxrwx 3 dockremap dockremap 4,0K april 8 19:20 .

我将它绑定安装到一个 Alpine 容器中，如下所示：

docker run --rm -it -w /work -v $(pwd)/shared_file.txt:/work/shared_file.txt remaptest ls -lah

我现在希望该文件由root容器内的 UID 0 拥有，因此可以读取。相反，它归以下所有nobody且不可读root：

-rwxrwx--- 1 nobody nobody 0 Apr 8 16:19 shared_file.txt

nobody容器内有以下 id：

/work # id nobody
uid=65534(nobody) gid=65534(nobody) groups=65534(nobody)

我是否对用户命名空间重新映射和绑定挂载文件系统权限如何协同工作有错误的期望，或者这里有什么问题？我已经在两台不同的 PC 上对此进行了测试。其中一个运行 Ubuntu，另一个运行 Mint。

我还用Ubuntu-based容器而不是容器进行了测试Alpine-based，但结果几乎相同。我当然可以修改用于构建映像的 Dockerfile，但我的印象是我在上面执行此操作的方式应该可行。

我想使用它的实际Dockerfile来自 Docker Hub，我不想弄乱它的设置方式。

标签： dockerlinux-namespaces