1 min read 奇技淫巧

使用非特权nginx容器镜像

使用非特权nginx容器镜像

容器使用非root用户是一种安全共识,而我们常用的nginx官方提供的容器镜像--docker.io/library/nginx:latest却是使用到root权限。今无意发现有个nginx-unprivileged容器镜像,使用的是非root用户。

测试

  • 镜像拉取
docker pull nginxinc/nginx-unprivileged:1.21.4
  • 创建容器
docker run -it --rm --name nginx docker.io/nginxinc/nginx-unprivileged:1.21.4 bash
  • 查看当前用户UID、GID
$ id
uid=101(nginx) gid=101(nginx) groups=101(nginx)

嗯!后续的前端基础镜像就用它了。

小结

两个容器的不同点:

  • 监听端口:8080(普通用户不能监听1024以上端口)
  • 临时文件位于/tmp目录

参考引用

You might also like...

May
18
Linux 脚本引入锁机制

Linux 脚本引入锁机制

背景有些场景下,你想让脚本在同一时间下不允许重复执行。此时,就需要用到锁的概念了。 方案flock 工具flock 是 Linux 自带的文件锁工具,可直接避免重复进程。 #!/usr/bin/env bash flock -xn /tmp/rsync.lock -c
1 min read
Apr
26
下载k8s指定版本RPM包

下载k8s指定版本RPM包

背景 无 脚本实现#!/usr/bin/env bash URLX="http://prod-cdn.packages.k8s.io/repositories/isv:/kubernetes:/core:/stable:/v$1"
2 min read
Mar
31
Containerd 配置带认证容器镜像仓库

Containerd 配置带认证容器镜像仓库

背景企业内部的容器镜像仓库服务带凭证是再正常不过了,正好containerd支持带认证的容器镜像仓库。 环境容器镜像仓库地址:http://hub.vqiu.cn用户名:vqiu密码:vqiu实现步骤docker-registy为docker-registry服务实现简单的认证 生成一个Basic认证类型的用户USERNAME=vqiu PASSWORD=vqiu htpasswd -Bnb $USERNAME $PASSWORD > /etc/docker-registry/
1 min read
Mar
31
Containerd 使用HTTP协议容器镜像仓库

Containerd 使用HTTP协议容器镜像仓库

背景containerd默认会使用HTTPS协议来访问容器镜像仓库服务,然而内网中容器镜像仓库服务为HTTP协议,所以需要追加些参数来实现交互。 环境Containerd: 1.6.33实现方式编辑/etc/containerd/config.toml文件 [plugins."io.containerd.grpc.v1.cri".registry] config_path
2 min read
Feb
02
使用fpsync为文件复制提速

使用fpsync为文件复制提速

背景在文件备份与文件迁移的场景下,rsync 工具最为常用,然而在海量的小文件场景中,所以效率并不理想(rsync为单线程同步工具)。所以需要一些奇技淫巧来提高复制的效率--使用fpsync。 模拟场景使用以下命令来模拟数据场景 # mkdir -p /fpsync-test/src/{a..z}/ # seq 1 100000 | parallel "dd if=
1 min read