理解用户名、组名、用户ID（UID）和组ID（GID）在容器内运行的进程与主机系统之间的映射是构建安全系统的重要一环。如果没有提供其他选项，容器中的进程将以root用户身份执行（除非在Dockerfile中提供了不同的UID）。本文将解释这一工作原理，如何正确授予权限，并提供示例加以说明。

逐步分析uid/gid安全性

首先，让我们回顾一下uid和gid是如何实现的。Linux内核负责管理uid和gid空间，使用内核级系统调用来确定是否应该授予请求的特权。例如，当一个进程尝试写入文件时，内核会检查创建该进程的uid和gid，以确定它是否具有足够的特权来修改文件。这里不使用用户名，而是使用uid。

在服务器上运行 Docker 容器时，仍然只有一个内核。容器化带来的巨大价值之一是所有这些独立的进程可以继续共享一个内核。这意味着即使在运行 Docker 容器的服务器上，整个 uid 和 gid 的世界仍由一个单一内核控制。

因此，在不同的容器中不能使用相同的 uid 分配给不同的用户。这是因为在常见的 Linux 工具中显示的用户名（和组名）并不是内核的一部分，而是由外部工具（如 /etc/passwd、LDAP、Kerberos 等）管理。因此，你可能会看到不同的用户名，但是即使在不同的容器中，对于相同的 uid/gid，你也不能拥有不同的权限。这一点一开始可能会让人感到相当困惑，所以让我们通过几个例子来说明一下：

简单的Docker运行

我将首先以普通用户（marc）的身份登录到一个属于docker组的服务器上。这样我就可以在不使用sudo命令的情况下启动docker容器。然后，从容器外部，让我们来看看这个过程是如何呈现的。

marc@server:~$ docker run -d ubuntu:latest sleep infinity
92c57a8a4eda60678f049b906f99053cbe3bf68a7261f118e411dee173484d10
marc@server:~$ ps aux | grep sleep
root 15638 0.1 0.0 4380 808 ? Ss 19:49 0:00 sleep infinity