非ルートユーザーがLinuxでユーザーを追加する方法

tag-icon tag-icon linux docker podman
非ルートユーザーがLinuxでユーザーを追加する方法

Centos 8 / RH 8 上で非ルート ユーザーとしてコンテナーを起動しようとしていますが、同時にコンテナーに対して動的にユーザーをオンザフライで作成したいと考えています。

以下のサンプルを実行するために、エントリポイント スクリプトを使用しています。

$ cat docker-entrypoint.sh
#!/bin/bash
set -e

if [[ "$(id -u)" -eq "0" ]] && [[ -n "${UID_ENV}" ]] && [[ -n "${USERNAME_ENV}" ]]
then
        if [[ -z "$(getent passwd ${UID_ENV})" ]] && [[ -z "$(getent passwd ${USERNAME_ENV})" ]] && [[ -z "$(getent group ${UID_ENV})" ]]
        then
                groupadd -g ${GID_ENV} -r ${USERNAME_ENV} && \
                        useradd -rm -u ${UID_ENV} -g ${GID_ENV} ${USERNAME_ENV}
        else
                echo "User: $(getent passwd "${UID_ENV}" | cut -d: -f1) with uid: ${UID_ENV} already exists"
        fi

        if [[ -n "${VOLUMES_ENV})" ]]
        then
                for vol in ${VOLUMES_ENV}
                do
                        echo "Chown Directory: ${vol} with parameters: ${UID_ENV}:${GID_ENV}"
                        chown -R ${UID_ENV}:${GID_ENV} ${vol}
                done
        fi
        exec su-exec "${USERNAME_ENV}" "$@"
else
        if ! [[ `whoami 2>/dev/null` ]]
        then
                echo "Do not use the 'docker run -u ...' on this image!"
                exit 1
        fi
        exec "$@"
fi

Dockerfile では、次のようなパラメータを定義できます。

ENV FROM centos:7

ENV=${UID_ENV:-"12345"}
ENV GID_ENV=${GID_ENV:-"12345"}
ENV VOLUMES_ENV=""
ENV USERNAME_ENV=${USERNAME_ENV:-"test-user"}

COPY ["docker-entrypoint.sh", "/usr/local/bin/"]

ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]

次に、2 番目のステップとして、podman を使用してコンテナーを構築できます (パラメーターを渡す必要はなく、デフォルトのパラメーターが使用されます)。

podman build --rm -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample

docker デーモンがルート下で実行されているため、これは Centos 7 / RH 7 では完璧に機能します。

この問題は、新しい OS Centos 8 / RH 8 で、ユーザーが非 root ユーザーとして実行される podman を使用しようとすると発生します。

イメージを実行したときに表示されるエラー (当然のことですが) は次のとおりです。

groupadd: /etc/group.11: lock file already used
groupadd: cannot lock /etc/group; try again later.

非ルートユーザーとしてユーザーを追加できるようにユーザーに権限を与える方法をご存知ですか?

アップデート:

--build-arg回避策としては、ビルド時にパラメータとして渡すことが考えられます (これは望ましくありません) 。コード/構成のサンプル:

ENV FROM centos:7

ARG ARG_UID=${ARG_UID:-"12345"}
ARG ARG_GID=${ARG_GID:-$ARG_UID}
ARG ARG_VOLUMES=""
ARG ARG_USERNAME=${ARG_USERNAME:-"test-user"}

ENV UID_ENV=${ARG_UID}
ENV GID_ENV=${ARG_GID}
ENV VOLUMES_ENV=${ARG_VOLUMES}
ENV USERNAME_ENV=${ARG_USERNAME}

COPY ["docker-entrypoint.sh", "/usr/local/bin/"]

ENTRYPOINT ["docker-entrypoint.sh"]
CMD ["/bin/bash"]

上書きすることに決めた場合は、ビルド時にパラメータを渡す必要があります。

podman build --rm --build-arg ARG_UID=54321 -t local/c7-ssample . && podman run --name centos-test --rm -it local/c7-ssample

しかし、解決策はRH8.2に含まれている可能性があります。AB指摘した。

プルテストが必要なので、後で更新します。

関連情報