在 Docker Compose 中通过 user 参数指定非 root 用户运行容器，是生产环境推荐的安全加固方式，适合需要隔离容器权限的场景。

命令速用版

在 docker-compose.yaml 中直接指定用户 ID 运行：

version: '3.8'
services:
  webapp:
    image: nginx:alpine
    user: "1000:1000"
    read_only: true

或在 Dockerfile 中创建用户并切换：

FROM ubuntu:22.04
RUN groupadd -r appgroup && useradd -r -g appgroup appuser
WORKDIR /app
COPY . /app
RUN chown -R appuser:appgroup /app
USER appuser
CMD ["python3", "app.py"]

为什么会这样

Docker 容器默认以 root 用户（UID 0）运行进程，这是因为 Docker 需要操作内核资源如挂载文件系统、配置网络命名空间等特权操作。但这也带来风险：一旦容器被攻破，攻击者可能获得宿主机的高权限访问能力。

使用非 root 用户运行遵循最小权限原则，容器内进程只拥有运行所需的最低权限。即使发生容器逃逸，攻击者也只能获得有限权限，无法直接操作宿主机敏感资源。

Linux 用户命名空间（User Namespace）功能可将容器内的 root 映射为非特权宿主用户，进一步实现权限隔离，但需要内核 3.8 以上版本支持。

分步处理

第一步：在 docker-compose.yaml 中指定用户 ID

为每个服务添加 user 参数，使用 UID:GID 格式而非用户名，避免依赖容器内用户表：

services:
  myapp:
    image: myimage:latest
    user: "1001:1001"
    volumes:
      - ./data:/app/data

第二步：确保挂载目录权限正确

宿主机上的挂载目录需要对指定 UID 可写，否则容器启动后会报文件写入拒绝：

mkdir -p ./data
chown 1001:1001 ./data

第三步：在 Dockerfile 中创建专用用户（进阶）

如果控制镜像构建，建议在 Dockerfile 中显式创建非 root 用户：

FROM python:3.11-slim
RUN groupadd -r appuser && useradd -r -g appuser appuser
USER appuser
WORKDIR /app
COPY `--chown`=appuser:appuser . /app
CMD ["python3", "app.py"]

注意 USER 指令必须放在所有需要 root 权限的操作之后，如安装依赖、修改系统配置等。

怎么验证是否生效

容器启动后执行以下命令检查：

docker exec -it <容器 ID> whoami
docker exec -it <容器 ID> id

输出应显示非 root 用户名或 UID 不为 0。也可检查进程用户：

docker exec -it <容器 ID> ps -eo uid,comm | head -n 2

确认 UID 列显示的是配置的非 root UID 而非 0。

常见坑

端口绑定问题：非 root 用户无法绑定 1024 以下的端口。如果应用需要监听 80 或 443 端口，需使用 1024 以上端口并通过反向代理转发，或配置 Linux capabilities。

文件写入拒绝：挂载卷的宿主机目录权限未正确设置时，容器内非 root 用户无法写入。确保宿主机目录对指定 UID 可写。

USER 指令顺序错误：在 Dockerfile 中 USER 指令放在需要 root 权限的操作之前，会导致安装依赖或修改系统配置失败。正确顺序是：创建用户 → 复制文件并设归属 → 切换 USER → 运行应用。

镜像已自带用户：部分官方镜像（如 node 镜像含 node 用户）已内置非 root 用户，可直接复用，需查清其 UID/GID 再使用，避免重复创建。

参考来源

• Docker 官方文档 - Configure user in Docker Compose
• CSDN 博客 - Docker 容器用户权限配置全攻略 (非 root 运行避坑指南)
• 阿里云开发者社区 - 配置 Docker Rootless 模式以非 root 用户运行容器
• 阿里云开发者社区 - Docker Compose 的安全性最佳实践