通过我之前的文章已经可以验证，在root用户下安装启动的容器存在安全问题。究其原因是因为：

• 容器内的root用户就是宿主机的root用户，容器内uid=1000的用户就是宿主机uid=1000的用户
• docker的守护进程是root权限的

既然我们知道了原因，那么我们就来解决一下这两个问题。

• • 一、容器用户与宿主机用户映射
  • 二、在非root用户下运行docker守护进程
  • • 2.1.docker版本要求
    • 2.2. 前置条件
    • 2.3.开始rootless模式安装
    • 2.4.启动守护进程运行容器
  • 三、存在若干已知的限制。
  • 四、卸载Rootless docker

  一、容器用户与宿主机用户映射

  docker是使用 --userns-remap 容器用户映射宿主机用户的方式来解决问题，具体的方法描述如下：

  用户和组的映射由两个配置文件来控制，分别是 /etc/subuid 和 /etc/subgid 。

  echo "zimug:100000:65536" | tee /etc/subuid;
  echo "zimug:100000:65536" | tee /etc/subgid;
  subuid(sub子uid用户id)：对于subuid的这一行表示，宿主机用户zimug的用户ip段为[100000,10000+65535]。也就是说，使用zimug这个宿主机启动容器，容器内的用户uid与宿主机内的用户uid存在关系。也就是说按照上面的配置：
   
   
  zimug这个用户的容器子用户id(subuid)，只能在[100000-165535]之间进行分配。[0-99999]这个区间范围内的uid仍然保留给宿主机进行使用。
  使用zimug启动的第一个容器，容器用户root(uid=0)对应的宿主机用户应该是uid=100000(不是宿主机root用户)
  使用zimug启动的第二个容器，容器用户root(uid-0)对应的宿主机用户可能是uid=101000(也不是宿主机root用户)
  subgid表示的是用户组id的映射关系，映射原理和uid是一致的。
   
  二、在非root用户下运行docker守护进程
   
  2.1.docker版本要求
   
  既然root用户的提权问题解决了，我们就要解决下一个问题：docker的守护进程是root权限的，即运行docker守护进程的用户仍然是root。我们需要做如下修正：
   
   也就是我们要在非root用户下安装docker，并启动docker守护进程，这种安装及运行模式被称为“RootLess”模式。可以安装但是存在先决条件：“RootLess”模式是在 Docker Engine v19.03 中作为实验性功能引入的，从 Docker Engine v20.10 开始提供正式使用。
   
  2.2. 前置条件
   
  需要安装newuidmap和newgidmap工具shadow-utils,即配置上文中的/etc/subuid和/etc/subuid需要这两个工具的支持。安装之前使用yum list installed shadow-utils确认下是否已经安装过或者操作系统自带，如果存在就不要安装了,但第三步的配置是需要的。
   第一步：添加一个软件包安装源，该源下面包含shadow-utils46-newxidmap
   
  curl -o /etc/yum.repos.d/vbatts-shadow-utils-newxidmap-epel-7.repo https://copr.fedorainfracloud.org/coprs/vbatts/shadow-utils-newxidmap/repo/epel-7/vbatts-shadow-utils-newxidmap-epel-7.repo
  第二步： yum install -y shadow-utils46-newxidmap
   第三步：在/etc/sysctl.conf文件中修改系统参数user.max_user_namespaces = 28633，修改完成之后执行sysctl --system命令让参数生效。
   
  echo user.max_user_namespaces=28633 >> /etc/sysctl.d/userns.conf;
  sudo sysctl -p /etc/sysctl.d/userns.conf;
  该参数默认值是0，即不允许操作系统用户存在subuid空间。上面的操作完成之后使用sysctl --all --pattern user_namespaces命令验证修改的结果。
   
  2.3.开始rootless模式安装
   
  root用户下确保已经执行下列命令进行用户id关系配置
   
  echo "zimug:100000:65536" | tee /etc/subuid;
  echo "zimug:100000:65536" | tee /etc/subgid;
  我已经新建了一个linux用户zimug，使用su - zimug切换到该用户下，执行安装脚本，该安装脚本需要连网。
   
  curl -fsSL https://get.docker.com/rootless | sh
  脚本执行完成之后，显示的内容如下：
   
   
  将上图中安装过程提示的export内容添加到 ~/.bashrc 文件中，添加完使用source ~/.bashrc命令使环境变量生效。注意：你的环境变量和我的一定不一致，要copy上图中红色部分。
   
  export XDG_RUNTIME_DIR=/home/zimug/.docker/run
  export PATH=/home/zimug/bin:$PATH
  export DOCKER_HOST=unix:///home/zimug/.docker/run/docker.sock
  2.4.启动守护进程运行容器
   
  在zimug用户下使用下面的脚本启动docker守护进程，该脚本在上文中的环境变量PATH目录下，所以我们不用写全路径。注意：我们这里使用了 --experimental --storage-driver vfs参数启动，因为我的linux内核版本比较低所以需要加这个参数，后文我会说明原因。
   
  dockerd-rootless.sh --experimental --storage-driver vfs
  启动一个容器我们尝试一下，注意宿主机映射的端口不能小于1024，因为linux非root用户不能使用1024以下的端口。
   
  docker run -d --name nginx-zimug -p  8080:80  nginx
  访问nginx服务看到界面就证明nginx服务没有问题，同时注意宿主机防火墙开放8080端口访问，这个我就不说了。
   
  三、存在若干已知的限制。
   
  官方文档说的是known-limitations，也就是已知的受限因素是下面这些，未知的受限因素还不一定有多少呢。所以笔者针对rootless模式目前也只是研究，还没有在生产上能够正式使用（2022年4月6日）。虽然它很安全，但是如果坑太多的话，我也受不了啊。
   
  目前仅支持以下存储驱动程序： 
    
  overlay2（仅当使用内核 5.11 或更高版本或 Ubuntu 发行版本的内核运行时，才能够支持这个存储驱动）。上文中我的内核版本是3.10达不到要求。
  fuse-overlayfs（仅当使用内核 4.18 或更高版本运行并fuse-overlayfs被安装时）
  btrfs（仅当使用内核 4.18 或更高版本运行，或者~/.local/share/docker使用user_subvol_rm_allowed挂载选项挂载时）
  vfs 兼容性最好，但这个存储驱动目前仅能用于实验，不能用于生产。
   
  只有在使用 cgroup v2 和 systemd 运行时才支持 Cgroup。
  不支持以下功能： 
    
  AppArmor
  Checkpoint
  Overlay网络模式
  暴漏SCTP 端口
   
   
  四、卸载Rootless docker
   
  在非root用户(我用的是zimug用户)下执行下列命令，完成docker rootless卸载
   第一步：
   
  rootlesskit rm -rf ~/.local/share/docker
  $ cd ~/bin 
  $ rm -f containerd containerd-shim containerd-shim-runc-v2 ctr docker docker-init docker-proxy dockerd dockerd-rootless-setuptool.sh dockerd-rootless.sh rootlesskit rootlesskit-docker-proxy runc vpnkit
  第三步： 把上文中在 ~/.bashrc 文件中添加的环境变量删掉。
  				
  Ubuntu安装docker，在 18.04 上测试没有问题。
  可切换为国内阿里云源，加快访问速度。
  # 连接至linux-ubuntu，以下命令都是需要root权限的，因此默认使用root用户
  # 卸载旧版本，卸载前跟客户确认此台服务器只有我们在使用
  apt-get remove docker docker-engine docker.io containerd runc;
  # 安装docker依赖
  apt-get update;
  apt-get install -y apt-transport-https ca-certificates curl gnupg-agent software-
  				
  Docker简介
  Docker 是一个开源的应用容器引擎，让开发者可以打包他们的应用以及依赖包到一个可移植的容器中，然后发布到任何流行的 Linux 机器上，也可以实现虚拟化。容器是完全使用沙箱机制，相互之间不会有任何接口。
  docker就给简单介绍这么多，这里主要说说docker swarm。
  docker engine本身只提供了容器技术，没有解决集群环境下的容器编排和通信。docker swarm是一个容器编排管理工具，docker-engine在1.12版本之后集成了docker swarm，不需要再单独安装。
  docker swarm的功能，举个例子，有3台机器都安装了do
  				
  打开终端直接输入 docker 命令时出现以下错误：
  Got permission denied while trying to connect to the Docker daemon socket at unix:///var/run/docker.sock: Get http:///var/run/docker.sock/v1.40/images/json: dial unix /var/run/docker.sock: connect: permission denied
  解决办法：
  将非root用户加入docker组
  usermod -aG docker yourUser
  docker 1.12版本最大的改变在于集成了docker swarm，在docker engine下提供了 swarm 模式，这里主要说一下docker swarm。
  docker engine本身只提供了容器技术，没有解决集群环境下的容器编排和通信。docker swarm是一个容器编排管理工具，docker-engine在1.12版本之后集成了docker swarm，不需要再单独安装。
  docker swarm的功能，举个例子，有3台机器都安装了docker环境，称为3台docker节点。那么如何管理这3台docker节点，并把容器以类似于负载均衡的模式分别部署到这3台节点上
  				
  在Docker中使用venv的家庭助理
  使用官方Docker镜像以非root用户身份运行Home Assistant！
   即使是在使用docker时，也有很多原因使人们想要以不同于root的用户身份来运行 ：在使用映射的卷进行配置时，您可能想在docker容器之外访问和编辑它-运行容器作为root会导致权限问题。 这也是一种安全性最佳实践，因为它提供了更多防止容器逃逸攻击的保护。
   自0.94版以来的Home Assistant泊坞窗映像在站点范围内安装了其他必需的python程序包，仅允许root用户执行此操作。 这个简单的脚本允许您在正式映像中启动Home Assistant，但使用允许普通用户安装软件包的虚拟python环境。
   从版本0.107开始，H​​ome Assistant泊坞窗映像使用作为其初始化系统。 S6需要root才能启动，特权下降是在启动Home Assistan
  step1:安装虚拟机
  step2:修改宿主机BIOS配置，详细步骤见文章：//www.jb51.net/article/96239.htm
  step3:在虚拟机上安装ubuntu系统。内存设置为4G,硬盘设置为100G,其余均按默认，一直点选下一步。直到系统安装成功。 
  二. 安装docker
  step1:给root设置密码
  输入sudo passwd root 回车，输
  				
  Docker Rootless 基本概念
  Rootless 模式允许以非 root 用户身份运行 Docker 守护进程（dockerd）和容器，以缓解 Docker 守护进程和容器运行时中潜在的漏洞。Rootless 模式是在 Docker v19.03 版本作为实验性功能引入的，在 Docker v20.10 版本 GA。
  Rootless 模式目前对 Cgroups 资源控制，Apparmor 安全配置，Overlay 网络，存储驱动等还有一定的限制，暂时还不能完全取代  “Rootful” Dock
  方法一：修改 /etc/sudoers 文件，找到下面一行，把前面的注释（#）去掉
  Allows people in group wheel to run all commands
  %wheel ALL=(ALL) ALL
  然后修改用户，使其属于root组（wheel），命令如下：
  #usermod -
                      Kyrie Owen: 
                      在硬盘中，数据的存储是分散的，而不是连续存储的。硬盘的最小读取单位是扇区，一般为512字节或4KB。当我们需要读取一个文件时，硬盘会将文件的数据分散存储在多个扇区中，需要逐个扇区读取并组合成完整的文件。
  如果我们只需要读取文件的一部分数据，而不是整个文件，那么硬盘就会读取大量无用的数据，导致读取效率低下。为了避免这种情况，我们可以使用操作系统提供的文件缓存机制，将文件的数据缓存在内存中，以便快速读取。当我们需要读取文件时，操作系统会先检查文件缓存中是否已经存在该文件的数据，如果存在，则直接从缓存中读取，否则才从硬盘中读取。
  另外，为了提高硬盘的读取效率，硬盘通常会使用磁盘预读技术，即在读取一个扇区时，会预先读取相邻的几个扇区，以便下一次读取时能够更快地获取数据。这也是为什么在读取文件时，有时候会读取一些看似无用的数据的原因。
                  效率低？响应慢？报表工具痛点及其解决方案
                      幸福的小雨: 
                      非常非常牛，受用百倍，给你32个赞
                  echarts配置项详细解释
                      cetclyb: 
                      大佬，在这个例程中，下载到本地后，那个控件工具框不能出现，你知道为啥么？谢谢https://echarts.apache.org/examples/zh/editor.html?c=graphic-wave-animation
                  超给力，一键生成数据库文档-数据库表结构逆向工程
                      Aphe1ion: 
                      你好，想问下怎么根据表结构文档创建数据库表结构？
                  【docker系列】使用非root用户安装及启动docker(rootless模式运行)
                      今天不要敲代码: 
                      [code=plain]
   dockerd-rootless.sh[15982]: [rootlesskit:parent] error: failed to setup UID/GID map: newuidmap 15988 [0 1003 1 1 296608 65536] failed: newuidmap: write to uid_map failed: Operation not permitted
  4月 25 17:22:04 ubuntu dockerd-rootless.sh[15982]: : exit status 1
  [/code]
  你好，我在执行脚本的时候遇到了上面的错误，请问有什么解决方法吗