在复制到 Docker 映像的文件或访问 Docker 容器内已安装卷上的文件时遇到“权限被拒绝”错误？在此博客中，您将了解为什么会出现“权限被拒绝”错误以及如何解决它。享受！

一、简介

在深入探讨 Docker 容器中的 Permission Denied问题之前，最好了解 Linux 中权限的基本知识。如果您已经熟悉这些概念，则可以跳过本段。

可以在 Ubuntu 文档和这个关于umask的优秀解释 中找到熟悉权限的一个很好的起点。如果您想要快速总结，请继续阅读！

当您创建一个新目录blog并列出该目录的属性时，您将在终端窗口中看到以下输出：

$ mkdir blog
$ ls -la
drwxrwxr-x 2 user group 4096 Aug 14 06:15 blog/

让我们从左到右检查这里列出的一些项目：

当您创建一个新文件defaultpermissions.txt并列出该文件的属性时，您将看到类似的输出：

$ touch defaultfilepermissions.txt
$ ls -la
-rw-rw-r-- 1 user group 0 Aug 14 06:20 defaultfilepermissions.txt

权限的列出方式与目录类似。没有 das 第一项，因为它当然不是目录，并且文件没有任何执行权限。

2.先决条件

以下段落中执行的测试是在 osboxes.org提供的基于 Ubuntu 22.04 的 VirtualBox 虚拟机 (VM) 中执行的。如果您按照上一篇文章第 2 段中的说明进行操作，则可以轻松 设置。

登录到 VM 后，需要安装 docker。在撰写本文时，使用的是 Docker v20.10.14。

sudo snap install docker

您还可以从您自己的本地安装的 Ubuntu 中执行测试，执行测试不需要更改您的系统设置。

使用 OSBoxes VM 时，用户/组将为 osboxes/osboxes。如果您使用自己的系统，则可以使用 usersand groups命令检索用户/组。

以下段落中使用的文件可在 GitHub 上找到。

3.以root身份运行的容器

在第一个测试中，文件将从本地文件系统复制到 Docker 映像。Docker 镜像的基础镜像是 Alpine Linux 镜像。

创建一个目录1-defaultcontainer，导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个：

FROM alpine:3.16.2

COPY test.txt /tmp/test.txt

该 FROM指令将使用 Alpine Linux 3.16.2 基础 Docker 映像，并且该 COPY指令会将本地 test.txt文件复制到位于 location 的 Docker 映像中 /tmp/test.txt。

在终端窗口中，构建 Docker 映像：

$ sudo docker build -f Dockerfile -t dockertest .
[sudo] password for osboxes:
Sending build context to Docker daemon 3.072kB
Step 1/2 : FROM alpine:3.16.2
3.16.2: Pulling from library/alpine
213ec9aee27d: Pull complete
Digest: sha256:bc41182d7ef5ffc53a40b044e725193bc10142a1243f395ee852a8d9730fc2ad
Status: Downloaded newer image for alpine:3.16.2
---> 9c6f07244728
Step 2/2 : COPY test.txt /tmp/test.txt
---> 842ef14a6a73
Successfully built 842ef14a6a73
Successfully tagged dockertest:latest

以交互模式启动 Docker 容器，以便能够使用 shell：

sudo docker run --rm -it dockertest /bin/sh

导航到目录/tmp并列出文件：

ls -la2-rw-rw-r-- 1根 23 Aug 14 10 :33 test.txt

请注意，文件权限被保留，但用户/组是 root/root。默认情况下，Docker 容器以 root 用户身份运行，这是一个安全问题。

尝试执行 cat test.txt，你会注意到文件的内容被输出了。尝试通过编辑文件 vi并保存文件。这个动作也是允许的。这些结果是合乎逻辑的：root 用户执行它们，root 可以做任何事情。

键入 退出 shell exit。

为了确保测试彼此独立执行，请按如下方式删除 Docker 映像：

$ sudo docker rmi dockertest

4.以用户1000运行的容器

此测试与第一个测试类似，不同之处在于您将为 Docker 容器创建一个用户。这样，容器将不再以 root 用户身份运行，这是一种更安全的容器运行方式。

创建一个目录2-containeruser1000，导航到该目录并创建一个test.txt包含一些虚拟内容的文件。Dockerfile使用以下内容在同一目录中创建一个：

FROM alpine:3.16.2

RUN addgroup --g 1000 groupcontainer
RUN adduser -u 1000 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY test.txt /home/containeruser/test.txt

这个新的发生了什么 Dockerfile？

• 使用 ,使用 gid 1000 创建RUN addgroup一个组 ；groupcontainer
• 使用 RUN adduser， containeruser创建一个 uid 为 1000 的用户，属于组 groupcontainer和主目录 /home/containeruser；
• 使用 USER containeruser，容器与用户一起运行 containeruser；
• 本地 test.txt文件被复制到 containeruser.

这 Dockerfile可以更有效地减少层数。有关图层的更多信息，请阅读 有关此主题的上一篇文章。为了简单起见，这里不考虑优化 Docker 镜像。

像以前一样构建并运行容器。首先检查哪个用户正在运行容器：

# whoami

containeruser

正如预期的那样，容器以 user 身份运行containeruser。导航到主目录containeruser并列出文件：

# ls -la

-rw-rw-r-- 1 root root 23 Aug 14 10:58 test.txt

这可能会让您感到惊讶，但文件的所有者仍然是 root/root。

尝试执行 cat test.txt，你会注意到文件的内容被输出了。可以这样做，因为 other具有读取权限。请记住，容器 containeruser现在以用户身份运行。尝试编辑文件 vi并保存文件。这是不可能的：会发出警告，指出该文件是只读的。那是因为 other没有写权限。

如果您仍然不相信，请执行相同的测试，但使用 uid/gid 1024。结果是相同的。这些文件在目录中的存储库中可用3-containeruser1024。下面对应Dockerfile：

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY test.txt /home/containeruser/test.txt

删除 Docker 映像。

5. 容器以用户 1024 运行并更改所有权

在本段中，您将解决权限问题。诀窍是将文件的所有权更改为运行 Docker 容器的用户。创建一个目录4-containeruser1024changedowner。是Dockerfile：

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

COPY --chown=containeruser:groupcontainer test.txt /home/containeruser/test.txt

在包含的行中 COPY，文件的所有权 test.txt更改为用户 containeruser和组 groupcontainer。

像以前一样构建并运行容器。导航到用户的主目录containeruser并列出文件：

# ls -la

-rw-rw-r-- 1 containe groupcon 23 Aug 14 10:58 test.txt

尝试执行 cat test.txt，你会注意到文件的内容被输出了。尝试编辑文件 vi并保存文件。这是允许的，因为这一次， containeruser拥有该文件并具有适当的写入权限。

删除 Docker 映像。

6. 体积映射

使用卷映射，您将本地目录映射到 Docker 容器内的目录。这可能会更棘手，因为您必须对本地系统权限、用户、组等做出一些假设。通常这可以正常工作，因为您的本地 uid/gid 可能是 1000/1000 并且在容器内这将是相似的。对于卷映射，重要的是所有者的 uid/gid 在容器外部和内部是相同的。让我们看看这是如何工作的！

创建一个目录 5-volumemapping并在该目录中创建一个目录 testdir和一个 test.txt包含一些虚拟内容的文件。

检查本地用户的 uid/gid：

$ id -u osboxes
1000
$ id -g osboxes
1000

目录的权限是：

$ ll
drwxrwxr-x 2 osboxes osboxes 4096 Aug 14 04:19 testdir/

该文件的权限为：

$ ll

-rw-rw-r-- 1 osboxes osboxes 23 Aug 14 06:58 test.txt

这一次，您使用以下内容Dockerfile：

FROM alpine:3.16.2

RUN addgroup --g 1024 groupcontainer
RUN adduser -u 1024 -G groupcontainer -h /home/containeruser -D containeruser

USER containeruser

RUN mkdir /home/containeruser/testdir

请注意，对于测试，重要的是本地用户的 uid/gid 和容器内的用户不同。这次您不会将文件复制到容器中，但是使用 RUN mkdir可以确保存在可以将本地卷映射到的目录。

像以前一样构建 Docker 映像并从内部目录运行容器，5-volumemapping如下所示。该参数会将本地目录-v挂载到用户的主目录中。testdirtestdircontaineruser

$ sudo docker run -v $(pwd)/testdir:/home/containeruser/testdir --rm -it dockertest /bin/sh

导航到目录/home/containeruser并列出内容：

# ls -la
drwxrwxr-x 2 1000 1000 4096 Aug 14 10:23 testdir

如您所见，uid/gid 的值为 1000/1000，这是创建目录的本地系统用户的 uid/gid。

导航到目录testdir并列出内容：

# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt

同样，您注意到文件的所有权与目录的所有权相同。

尝试读取 file 的内容test.txt，成功。尝试创建一个新文件test2.txt，这将返回Permission Denied错误，因为other在此目录中没有写入权限。

# cat test.txt
this is a test message
# touch test2.txt
touch: test2.txt: Permission denied

如何解决这个问题，在 这个博客中有很好的解释。

更改目录的所有权，以便组 1024 拥有本地系统上的所有权

$ sudo chown :1024 testdir/

。

确保新文件获得组所有权。

$ chmod g+s testdir/

# ls -la
drwxrwxr-x 2 1000 groupcon 4096 Aug 12 10:23 testdir

现在您注意到该组 groupcontainer拥有该目录的所有权。

导航到目录testdir，创建一个文件，编辑它vi并输出内容。这一切现在都是可能的。

# touch test2.txt
# vi test2.txt
# cat test2.txt

another test message

检查文件的权限。

# ls -la
-rw-rw-r-- 1 1000 1000 23 Aug 14 10:23 test.txt
-rw-r--r-- 1 containe groupcon 0 Aug 14 10:37 test2.txt

该文件 test.txt仍然拥有 uid/gid 1000/1000 的原始所有权，新 test2.txt文件拥有 containeruser/groupcontainer 的所有权。

从本地系统可以读取 的内容 test2.txt，但由于 的只读权限，不允许更改其内容 other。根据您的用例，存在几种解决方案，如上述博客文章中所述，如何解决此问题。

删除 Docker 映像。

7. 结论

将文件复制到 Docker 映像时出现Permission Denied错误可以在 Dockerfile. 只需按照本博客中描述的提供的解决方案进行操作即可。 本地目录和容器内目录之间的卷映射的Permission Denied错误可能有点棘手。希望本博客中提供的信息能帮助您理解和解决 Permission Denied错误。