以root身份运行容器会带来许多风险。虽然容器内的root与主机上的root不同（有关详细信息请参见此处），在容器启动期间可以拒绝许多能力，但仍建议避免成为root。

通常，在安装一些通用软件包/库之后，在Dockerfile中使用USER指令是个好主意。换句话说——在需要root权限的操作之后。在生产服务镜像中安装sudo是错误的，除非你有一个真正好的理由。在大多数情况下，你不需要它，而且这更是一个安全问题。如果您需要访问镜像中的某些特定文件或目录的权限，请确保您在Dockerfile中指定的用户确实可以访问它们（根据您部署容器的位置设置适当的uid、gid和其他选项）。通常情况下，您不需要事先创建用户，但如果需要自定义，则可以随时执行此操作。

以下是一个Java应用程序的示例Dockerfile，该应用程序在用户my-service下运行：

FROM alpine:latest
RUN apk add openjdk8-jre
COPY  ./some.jar /app/
ENV SERVICE_NAME="my-service"

RUN addgroup --gid 1001 -S $SERVICE_NAME && \
    adduser -G $SERVICE_NAME --shell /bin/false --disabled-password -H --uid 1001 $SERVICE_NAME && \
    mkdir -p /var/log/$SERVICE_NAME && \
    chown $SERVICE_NAME:$SERVICE_NAME /var/log/$SERVICE_NAME

EXPOSE 8080
USER $SERVICE_NAME
CMD ["java", "-jar", "/app/some.jar"]

正如您所看到的，我事先创建了用户并设置了它的gid，禁用了它的 shell 和密码登录，因为它将成为一个“服务”用户。该用户还成为/var/log/$SERVICE_NAME的所有者，假设它将在那里写入一些文件。现在我们有了更小的攻击面。

为什么不应该以root用户身份运行

虽然其他人已指出，不应该将镜像以root用户身份运行，但这里或文档中并没有太多信息说明原因。

尽管在容器内获得root权限和在主机上获得root权限之间存在差异，但在容器内获得root权限仍然非常强大。

以下是一篇深入探讨两者区别及该问题的好文:

https://www.redhat.com/en/blog/understanding-root-inside-and-outside-container

总体观点是，如果您的容器中存在恶意进程，则它可以在容器中执行任何操作，例如安装软件包、上传数据、劫持资源等等。

这也使得进程更容易突破容器并获得主机权限，因为容器本身没有任何保障。

何时以及如何以非root用户身份运行

您需要做的是使用root用户身份运行所有安装和文件下载/复制步骤（许多东西需要以root身份安装，通常以我下面概述的原因而言，这只是一个更好的做法）。然后，显式创建用户并授予该用户运行应用程序所需的最低访问级别。这通过使用chmod和chown命令完成。

在您的ENTRYPOINT或CMD指令之前，然后添加一个USER指令以切换到新创建的用户。这将确保您的应用程序以非root用户身份运行，并且该用户只能访问您在之前步骤中明确授予它访问权限的内容。

总体思路是，运行容器的用户应具有绝对最小的权限（大多数情况下，用户不需要文件的读、写和执行权限）。这样，如果容器中存在恶意进程，则其行为将受到尽可能多的限制。这意味着您应避免作为该用户创建或复制任何文件或安装任何软件包，因为默认情况下，它们将完全控制任何它们创建的资源。我曾看过一些评论提出不同的建议，请忽略它们。如果您想符合安全最佳实践，那么您还必须返回并撤销用户的多余权限，这将非常糟糕和容易出错。

你可以查看Docker的CIS基准，他们建议使用非root用户，这是其中一个“合规性”检查项。在底部添加USER non-root应该就足够了，或者您可以在您的RUN命令中使用'-u'来指定用户。 https://www.cisecurity.org/benchmark/docker/ https://docs.docker.com/develop/develop-images/dockerfile_best-practices/

在非 root 用户下运行容器可以为您提供额外的安全层。默认情况下，Docker 容器是以 root 用户身份运行的，但这允许容器进行不受限制的活动。