vmirage/gocryptfs Docker 镜像 - 轩辕镜像 | Docker 镜像高效稳定拉取服务

gocryptfs Docker镜像文档

镜像概述和主要用途

gocryptfs Docker镜像是基于rfjakob/gocryptfs的容器化实现，提供文件系统级别的透明加密与解密功能。该镜像通过FUSE（用户空间文件系统）技术，将加密文件夹挂载为可直接访问的解密目录，实现文件读写过程中的自动加密/解密，简化加密文件系统的部署与管理。

核心功能和特性

• 透明加密/解密：文件读写操作自动进行加密或解密，对用户透明
• FUSE支持：基于FUSE实现用户空间文件系统，无需修改内核
• 多文件夹加密：支持同时挂载多个独立加密文件夹到统一解密目录
• 容器化部署：简化依赖管理，可快速集成到Docker生态系统中
• 轻量级设计：基于官方gocryptfs构建，镜像体积小，资源占用低

使用场景和适用范围

• 个人文件隐私保护：加密本地敏感文件（如文档、照片），防止未授权访问
• 服务器数据安全：保护服务器上的配置文件、日志、用户数据等敏感信息
• 多设备文件同步：加密后通过云存储同步文件，避免数据在传输/存储过程中泄露
• 容器化应用集成：作为微服务架构中的加密存储组件，为应用提供加密存储能力

使用方法和配置说明

前提条件

• 宿主机需支持FUSE（内核版本≥2.6.36）
• Docker引擎版本≥1.12（支持--device参数和命名卷）

基础使用命令（docker run）

bash
docker run -d \
  --restart=unless-stopped \
  --name=gocryptfs \
  --privileged \
  --cap-add SYS_ADMIN \
  --device /dev/fuse \
  -e PASSWD=<your_encryption_password> \
  -v </path/to/host/encrypted/folder1>:/encrypted/folder1 \
  -v </path/to/host/encrypted/folder2>:/encrypted/folder2 \
  -v </path/to/host/decrypted/mount>:/decrypted:shared \
  vmirage/gocryptfs

参数说明

容器权限参数

• --privileged：赋予容器特权模式，确保FUSE正常工作
• --cap-add SYS_ADMIN：添加SYS_ADMIN capabilities，支持文件系统挂载操作
• --device /dev/fuse：挂载宿主机FUSE设备，提供用户空间文件系统支持

环境变量

卷挂载

Docker Compose配置示例

yaml
version: '3'

services:
  gocryptfs:
    image: vmirage/gocryptfs
    container_name: gocryptfs
    restart: unless-stopped
    privileged: true
    cap_add:
      - SYS_ADMIN
    devices:
      - /dev/fuse:/dev/fuse
    environment:
      - PASSWD=your_secure_password  # 建议通过.env文件管理，避免明文
    volumes:
      - /host/path/encrypted/docs:/encrypted/docs
      - /host/path/encrypted/media:/encrypted/media
      - /host/path/decrypted:/decrypted:shared

使用注意事项

1. 密码安全：PASSWD为敏感信息，建议通过Docker Secrets或环境变量文件（如.env）传递，避免直接写在命令或配置文件中
2. 权限设置：宿主机加密文件夹和解密目录需确保容器内用户（通常为root）有读写权限，可通过chmod或chown调整宿主机目录权限
3. 多文件夹挂载：加密文件夹需挂载到/encrypted/下的不同子目录（如/encrypted/docs、/encrypted/media），解密后将在/decrypted下对应显示子目录
4. 容器重启：使用--restart=unless-stopped确保服务异常退出后自动恢复