docker非root启动（docker 非root运行）

## Docker 非 Root 启动### 简介Docker 默认情况下需要 root 权限才能运行，这在某些场景下会带来安全风险。为了提高安全性，我们可以配置 Docker 以非 root 用户身份运行。### 方法一：使用用户命名空间重映射用户命名空间重映射允许在容器内将非 root 用户映射到 root 用户，从而无需实际的 root 权限即可运行 Docker。#### 1. 创建 Docker 用户组```bash sudo groupadd docker ```#### 2. 将用户添加到 Docker 组```bash sudo usermod -aG docker $USER ```#### 3. 配置 Docker Daemon编辑 `/etc/docker/daemon.json` 文件，添加以下内容：```json {"userns-remap": "default" } ```如果文件不存在，请创建该文件。#### 4. 重启 Docker 服务```bash sudo systemctl daemon-reload sudo systemctl restart docker ```#### 5. 验证配置使用非 root 用户运行 Docker 命令，例如：```bash docker ps ```如果一切正常，您将看到 Docker 容器列表，而无需使用 `sudo`。### 方法二：使用 Rootless DockerRootless Docker 允许在不使用任何 root 特权的情况下运行 Docker 守护进程和容器。#### 1. 安装 RootlesskitRootlesskit 是一个使 Linux 用户能够以非 root 用户身份运行 systemd 服务的工具。```bash curl -sS https://get.docker.com/rootless | sh ```#### 2. 配置环境变量将以下内容添加到您的 shell 配置文件（例如 `.bashrc` 或 `.zshrc`）中：```bash export PATH="/home/$USER/.local/bin:$PATH" export XDG_RUNTIME_DIR=/run/user/$(id -u) ```#### 3. 启动 Rootless Docker Daemon```bash dockerd-rootless-setuptool.sh install ```该命令将启动 Rootless Docker 守护进程，并将其配置为在每次登录时自动启动。#### 4. 验证配置使用非 root 用户运行 Docker 命令：```bash docker ps ```如果一切正常，您将看到 Docker 容器列表，而无需使用 `sudo`。### 总结通过用户命名空间重映射或 Rootless Docker，我们可以实现 Docker 的非 root 启动，从而提高安全性。选择哪种方法取决于您的具体需求和环境。

Docker 非 Root 启动

简介Docker 默认情况下需要 root 权限才能运行，这在某些场景下会带来安全风险。为了提高安全性，我们可以配置 Docker 以非 root 用户身份运行。

方法一：使用用户命名空间重映射用户命名空间重映射允许在容器内将非 root 用户映射到 root 用户，从而无需实际的 root 权限即可运行 Docker。

1. 创建 Docker 用户组```bash sudo groupadd docker ```

2. 将用户添加到 Docker 组```bash sudo usermod -aG docker $USER ```

3. 配置 Docker Daemon编辑 `/etc/docker/daemon.json` 文件，添加以下内容：```json {"userns-remap": "default" } ```如果文件不存在，请创建该文件。

4. 重启 Docker 服务```bash sudo systemctl daemon-reload sudo systemctl restart docker ```

5. 验证配置使用非 root 用户运行 Docker 命令，例如：```bash docker ps ```如果一切正常，您将看到 Docker 容器列表，而无需使用 `sudo`。

方法二：使用 Rootless DockerRootless Docker 允许在不使用任何 root 特权的情况下运行 Docker 守护进程和容器。

1. 安装 RootlesskitRootlesskit 是一个使 Linux 用户能够以非 root 用户身份运行 systemd 服务的工具。```bash curl -sS https://get.docker.com/rootless | sh ```

2. 配置环境变量将以下内容添加到您的 shell 配置文件（例如 `.bashrc` 或 `.zshrc`）中：```bash export PATH="/home/$USER/.local/bin:$PATH" export XDG_RUNTIME_DIR=/run/user/$(id -u) ```

3. 启动 Rootless Docker Daemon```bash dockerd-rootless-setuptool.sh install ```该命令将启动 Rootless Docker 守护进程，并将其配置为在每次登录时自动启动。

4. 验证配置使用非 root 用户运行 Docker 命令：```bash docker ps ```如果一切正常，您将看到 Docker 容器列表，而无需使用 `sudo`。

总结通过用户命名空间重映射或 Rootless Docker，我们可以实现 Docker 的非 root 启动，从而提高安全性。选择哪种方法取决于您的具体需求和环境。