lsiodev/openssh-server

linuxserver/openssh-server

OpenSSH服务器Docker镜像，提供沙箱环境允许SSH访问而不给予整个服务器的密钥。通过此容器可以创建有限的沙箱环境，用户只能访问映射的文件夹和容器内运行的进程。

!openssh-server

支持的架构

该镜像支持以下架构：

应用设置

如果设置了PUBLIC_KEY、PUBLIC_KEY_FILE或PUBLIC_KEY_DIR变量，指定的密钥将自动添加到authorized_keys。如果未设置，可手动将密钥添加到/config/.ssh/authorized_keys并重启容器。从Docker运行环境变量中删除这些变量不会从authorized_keys中删除密钥。PUBLIC_KEY_FILE和PUBLIC_KEY_DIR可与Docker secrets一起使用。

可以通过PASSWORD_ACCESS和USER_PASSWORD变量设置和允许基于密码的访问，但作为组织，我们不鼓励在面向公众的SSH端点使用密码认证。

通过以下命令连接到服务器：ssh -i /path/to/private/key -p PORT USER_NAME@SERVERIP

将SUDO_ACCESS设置为true将允许无密码sudo。USER_PASSWORD和USER_PASSWORD_FILE允许设置可选的sudo密码。

用户只能访问映射的文件夹和容器内运行的进程。添加任何希望用户访问的卷映射。要为用户安装可访问的软件包或服务，请使用LinuxServer容器自定义方法，如这篇博客文章中所述。

示例用例：当服务器管理员希望从远程服务器自动备份到本地服务器，但可能不希望远程服务器的所有其他管理员拥有对本地服务器的完全访问权限。可以设置此容器，挂载用于传入备份的文件夹，并通过上述LinuxServer容器自定义安装rsync，以便进行传入备份，但远程服务器及其管理员的访问将仅限于备份文件夹。

也可以运行此容器的多个副本，映射不同的端口，挂载不同的文件夹，并访问不同的私钥以实现隔离访问。

提示

可以将自己的文本文件卷映射到/etc/motd以覆盖连接时显示的消息。可以选择设置docker参数hostname。

密钥生成

此容器有一个帮助脚本用于生成SSH私钥/公钥。要生成密钥，请运行：

docker run --rm -it --entrypoint /keygen.sh linuxserver/openssh-server

然后按照提示操作。此脚本生成的密钥仅显示在控制台输出中，因此生成后请确保保存到某个位置。

使用方法

以下是使用docker-compose或docker cli创建容器的方法。

docker-compose（推荐）

yaml
---
version: "2.1"
services:
  openssh-server:
    image: lscr.io/linuxserver/openssh-server:latest
    container_name: openssh-server
    hostname: openssh-server #可选
    environment:
      - PUID=1000
      - PGID=1000
      - TZ=Etc/UTC
      - PUBLIC_KEY=yourpublickey #可选
      - PUBLIC_KEY_FILE=/path/to/file #可选
      - PUBLIC_KEY_DIR=/path/to/directory/containing/_only_/pubkeys #可选
      - PUBLIC_KEY_URL=https://github.com/username.keys #可选
      - SUDO_ACCESS=false #可选
      - PASSWORD_ACCESS=false #可选
      - USER_PASSWORD=password #可选
      - USER_PASSWORD_FILE=/path/to/file #可选
      - USER_NAME=linuxserver.io #可选
    volumes:
      - /path/to/appdata/config:/config
    ports:
      - 2222:2222
    restart: unless-stopped

docker cli

bash
docker run -d \
  --name=openssh-server \
  --hostname=openssh-server `#optional` \
  -e PUID=1000 \
  -e PGID=1000 \
  -e TZ=Etc/UTC \
  -e PUBLIC_KEY=yourpublickey `#optional` \
  -e PUBLIC_KEY_FILE=/path/to/file `#optional` \
  -e PUBLIC_KEY_DIR=/path/to/directory/containing/_only_/pubkeys `#optional` \
  -e PUBLIC_KEY_URL=https://github.com/username.keys `#optional` \
  -e SUDO_ACCESS=false `#optional` \
  -e PASSWORD_ACCESS=false `#optional` \
  -e USER_PASSWORD=password `#optional` \
  -e USER_PASSWORD_FILE=/path/to/file `#optional` \
  -e USER_NAME=linuxserver.io `#optional` \
  -p 2222:2222 \
  -v /path/to/appdata/config:/config \
  --restart unless-stopped \
  lscr.io/linuxserver/openssh-server:latest

参数

容器通过运行时传递的参数进行配置。这些参数用冒号分隔，表示<外部>:<内部>。例如，-p 8080:80会将容器内的端口80暴露出来，可通过主机IP的8080端口访问。

来自文件的环境变量（Docker secrets）

可以通过使用特殊的前缀FILE__从文件设置任何环境变量。

例如：

bash
-e FILE__MYVAR=/run/secrets/mysecretvariable

将根据/run/secrets/mysecretvariable文件的内容设置环境变量MYVAR。

运行应用程序的Umask

对于我们所有的镜像，您可以使用可选的-e UMASK=022设置覆盖容器内启动的服务的默认umask设置。请记住，umask不是chmod，它根据其值减去权限而不是添加。在请求支持之前，请先阅读相关内容。

用户/组标识符

使用卷（-v标志）时，主机操作系统和容器之间可能会出现权限问题，我们通过允许您指定用户PUID和组PGID来避免此问题。

确保主机上的任何卷目录都由您指定的相同用户拥有，任何权限问题都会像魔术一样消失。

在这个例子中PUID=1000和PGID=1000，要找到您的ID，请使用id your_user：

bash
id your_user

示例输出：

text
uid=1000(your_user) gid=1000(your_user) groups=1000(your_user)

支持信息

• 容器运行时的Shell访问：

  bash
  docker exec -it openssh-server /bin/bash
  

• 实时监控容器日志：

  bash
  docker logs -f openssh-server
  

• 容器版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' openssh-server
  

• 镜像版本号：

  bash
  docker inspect -f '{{ index .Config.Labels "build_version" }}' lscr.io/linuxserver/openssh-server:latest
  

更新信息

我们的大多数镜像是静态的、版本化的，需要更新镜像并重新创建容器才能更新内部的应用程序。除了一些例外，我们不建议或支持在容器内更新应用程序。

以下是更新容器的说明：

通过Docker Compose

• 更新镜像：

  • 所有镜像：

    bash
    docker-compose pull
    

  • 单个镜像：

    bash
    docker-compose pull openssh-server
    

• 更新容器：

  • 所有容器：

    bash
    docker-compose up -d
    

  • 单个容器：

    bash
    docker-compose up -d openssh-server
    

• 您还可以删除旧的悬空镜像：

  bash
  docker image prune
  

通过Docker Run

• 更新镜像：

  bash
  docker pull lscr.io/linuxserver/openssh-server:latest
  

• 停止运行中的容器：

  bash
  docker stop openssh-server
  

• 删除容器：

  bash
  docker rm openssh-server
  

• 使用上述相同的docker run参数重新创建新容器（如果正确映射到主机文件夹，您的/config文件夹和设置将被保留）

• 您还可以删除旧的悬空镜像：

  bash
  docker image prune
  

本地构建

如果您想对这些镜像进行本地修改以用于开发目的或只是为了自定义逻辑：

bash
git clone https://github.com/linuxserver/docker-openssh-server.git
cd docker-openssh-server
docker build \
  --no-cache \
  --pull \
  -t lscr.io/linuxserver/openssh-server:latest .

可以使用multiarch/qemu-user-static在x86_64硬件上构建ARM变体：

bash
docker run --rm --privileged multiarch/qemu-user-static:register --reset

注册后，您可以使用-f Dockerfile.aarch64定义要使用的dockerfile。

版本历史

• 12.06.23: - 基于Alpine 3.18重建，弃用armhf
• 05.03.23: - 基于Alpine 3.17重建
• 18.10.22: - 修复密码/无密码sudo的错误行为
• 11.10.22: - 基于Alpine 3.16重建，迁移到s6v3
• 15.09.22: - 添加支持代理的netcat-openbsd
• 18.07.22: - 修复服务权限以符合s6 v3的升级
• 16.04.22: - 基于Alpine 3.15重建
• 16.11.21: - 添加PUBLIC_KEY_URL选项
• 28.06.21: - 基于Alpine 3.14重建，添加PAM支持
• 10.02.21: - 基于Alpine 3.13重建，添加openssh-client用于scp
• 21.10.20: - 为openssh实现s6-log，添加本地时间戳到日志
• 20.10.20: - 为sftp设置umask
• 01.06.20: - 基于Alpine 3.12重建
• 18.01.20: - 添加密钥生成脚本
• 13.01.20: - 添加openssh-sftp-server
• 19.12.19: - 基于Alpine 3.11重建
• 17.10.19: - 初始发布