openeuler/distroless-base-nonroot

distroless-base-nonroot 镜像文档

快速参考

• 官方distroless-base-nonroot Docker镜像。
• 维护者：openEuler CloudNative SIG
• 帮助支持：openEuler CloudNative SIG、openEuler

镜像概述和主要用途

distroless-base-nonroot镜像基于distroless-base镜像构建，增加了非root用户。它允许默认以非root用户身份运行应用程序，从而提高安全性。

与distroless-base相比，主要区别如下：

1. 包含最小化的/etc/passwd文件和专用非root用户：

   • nonroot用户（用于运行应用程序的自定义非特权用户）

2. 包含最小化的/etc/group文件和专用非root组：

   • nonroot组（自定义非特权组）

支持的标签及对应Dockerfile链接

distroless-base-nonroot镜像的标签由glibc版本和openEuler版本组成，具体如下：

使用场景和适用范围

适用于需要以非root用户身份运行应用程序以提升安全性的场景，尤其适合对容器安全有严格要求的生产环境。

使用方法和配置说明

基础使用方法

基于distroless-base的使用方式，如需指定非root用户，可参考以下示例：

dockerfile
# Dockerfile

FROM openeuler/openeuler:24.03-lts AS build-env
COPY . /app
WORKDIR /app
RUN yum install -y gcc g++
RUN cc hello.c -o hello

FROM openeuler/distroless-base-nonroot:2.38-oe2403lts
COPY --from=build-env /app /app
WORKDIR /app
USER nonroot
CMD ["./hello"]

自定义用户示例

除了固定的nonroot用户外，还可以像distroless-base-nonroot镜像一样创建自定义用户和组。

在以下Dockerfile中，可将USERNAME、UID、GROUP和GID替换为所需值：

dockerfile
FROM openeuler/openeuler:24.03-lts AS build-env

RUN dnf install -y shadow-utils && \
    groupadd -g <GID> <GROUP> && \
    useradd -u <UID> -g <GID> -s /sbin/nologin <USERNAME>

# 构建应用
RUN ...

FROM openeuler/distroless-{base/cc/python/...}:{TAG}
COPY --from=build-env /etc/passwd /etc/passwd
COPY --from=build-env /etc/group /etc/group

# 从构建阶段复制应用
COPY --from=build-env /app /app

WORKDIR /app
USER <USERNAME>
CMD ["./app"]

注意事项：

• 由于distroless镜像不包含传统的用户/组管理工具，因此需要/etc/passwd和/etc/group文件。
• 确保分配的UID和GID为非特权且不与现有系统用户或组冲突。
• 复制过程中使用--chown标志可确保最终镜像中的文件所有权正确设置。

问题与反馈

如有任何问题或需要使用特殊功能，请在openeuler-docker-images提交issue或pull request。