有没有简单的方法可以在Bitbucket Pipelines Docker容器中更改为非root用户？

Jakub Synowiec 发表于 Dev

330

雅各布·辛诺维茨（Jakub Synowiec）

Bitbucket Pipelines使用Docker容器执行任务，默认情况下，Docker容器以root身份运行。这是NPM生命周期脚本的问题，因为NPM在运行脚本时会尝试降级其特权。

当执行postinstall脚本，NPM抛出一个错误，它cannot run in wd %s %s (wd=%s)。最简单的解决方案是运行带有--unsafe-perm标志的npm install ，但是我不喜欢这种方法。

Docker编写Dockerfile的最佳实践指出：

如果服务可以在没有特权的情况下运行，请使用USER更改为非root用户。

在配置典型的Docker容器时，我将创建一个新的非root用户，并以该用户身份运行npm脚本。

阅读管道文档后，我找不到与Docker的USER命令等效的任何内容。~~我也许能使用useradd，chown并且su（没有测试尚未），但有一个简单的解决方案？~~

不幸的是useradd，在脚本部分添加chown和su会bitbucket-pipelines.yml中断管道，并导致repo:pushwebhook失败。

image: node:6.2

pipelines:
  default:
    - step:
        script:
          - useradd --user-group --create-home --shell /bin/false node
          - chown -R node: /opt/atlassian/bitbucketci/agent/build
          - su -s /bin/sh -c "npm install" node
          - su -s /bin/sh -c "npm run test:coverage --silent" node

管道回应

{
  "code": 500,
  "message": "There was an error processing your request. It has been logged (ID <removed>)."
}

雅各布·辛诺维茨（Jakub Synowiec）

我发现最舒适的解决方案是仅在映像中未包含非root用户帐户时创建该帐户，然后使用gosu实用程序为执行的命令设置该帐户。

管道的build步骤已设置为chmod 777on，$BUILD_DIR因此chown不需要其他操作。

因此，要在Bitbucket Pipelines Docker容器中更改为非root用户，您必须：

在安装gosu实用程序的存储库中添加其他shell脚本（也可以将其直接包含在Pipelies配置中作为步骤）
install-gosu.sh在“管道”配置中将脚本称为第一步，
使用创建一个非root用户（检查它是否已经存在）id -u {user} &>/dev/null || useradd ...。
使用gosu以非root用户身份运行命令。

install-gosu.sh

#!/bin/bash

GOSU_VERSION=1.10
GNUPGHOME="$(mktemp -d)"

set -x

apt-get update && apt-get install -y --no-install-recommends ca-certificates wget && rm -rf /var/lib/apt/lists/* \
&& dpkgArch="$(dpkg --print-architecture | awk -F- '{ print $NF }')" \
&& wget -O /usr/local/bin/gosu "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch" \
&& wget -O /usr/local/bin/gosu.asc "https://github.com/tianon/gosu/releases/download/$GOSU_VERSION/gosu-$dpkgArch.asc" \
&& gpg --keyserver ha.pool.sks-keyservers.net --recv-keys B42F6819007F00F88E364FD4036A9C25BF357DD4 \
&& gpg --batch --verify /usr/local/bin/gosu.asc /usr/local/bin/gosu \
&& rm -r "$GNUPGHOME" /usr/local/bin/gosu.asc \
&& chmod +x /usr/local/bin/gosu \
&& gosu nobody true \
&& apt-get purge -y --auto-remove ca-certificates wget

bitbucket-pipelines.yml

image: node:6

pipelines:
  default:
    - step:
        script:
          - bash $BITBUCKET_CLONE_DIR/install-gosu.sh
          - id -u node &>/dev/null || useradd --user-group --create-home --shell /bin/false node
          - gosu node npm install
          - gosu node npm test

这可以轻松地适用于其他语言/用户/命令。只需交换node用户和npm命令即可。

我已经使用nodejs和python图像测试了此方法。

本文收集自互联网，转载请注明来源。

如有侵权，请联系 [email protected] 删除。

编辑于 2020-11-3

我来说两句

0 条评论

登录后参与评论

上一篇：使用ICompositeViewEngine的解析程序或ServiceProvider的必需依赖项

有没有简单的方法可以在Bitbucket Pipelines Docker容器中更改为非root用户？

有没有简单的方法可以在Bitbucket Pipelines Docker容器中更改为非root用户？

计算数据帧R中的字符串频率

Android Studio Kotlin：提取为常量

Excel 2016图表将增长与4个参数进行比较

获取并汇总所有关联的数据

如何使用Redux-Toolkit重置Redux Store

http：// localhost：3000 /＃！/为什么我在localhost链接中得到“＃！/”。

将加号/减号添加到jQuery菜单

算术中的c ++常量类型转换

TYPO3：将 Formhandler 添加到新闻扩展

TreeMap中的自定义排序

如何开始为Ubuntu开发

在 Python 2.7 中。如何从文件中读取特定文本并分配给变量

无法使用 envoy 访问 .ssh/config

在Ubuntu和Windows中，触摸板有时会滞后。硬件问题？

遍历元素数组以每X秒在浏览器上显示

在Jenkins服务器中使用Selenium和Ruby进行的黄瓜测试失败，但在本地计算机中通过

警告消息：在matrix（unlist（drop.item），ncol = 10，byrow = TRUE）中：数据长度[16]不是列数的倍数[10]>？

未捕获的SyntaxError：带有Ajax帖子的意外令牌u

如何使用tweepy流式传输来自指定用户的推文（仅在该用户发布推文时流式传输）

尝试在Dell XPS13 9360上安装Windows 7时出错

如果从DB接收到的值为空，则JMeter JDBC调用将返回该值作为参数名称