安全整改要求,容器持久化目录下,服务运行生成的普通文件权限不大于640,目录文件权限不大于750
你可能会尝试设置宿主机的或者基础镜像的umask ,又或者还去尝试直接在Dockerfile中设置,但最终没有达到预期!
那么,到底应该在哪里设置,怎么设置,才能实现限制动态生成的文件、目录的权限符合要求呢?
对非容器化部署的服务而言,一般有相关启动脚本可以设置 umask 环境变量,如 tomcat, GeoServer 设置之后,服务运行过程中产生的相关文件目录会根据设置的umask而生成。
如果是容器运行的服务,类似地,需要在 Dockerfle中的CMD 或者 RNTRYPOINT 指令 指定的相关脚本中指定。
如何为UMASK设置tomcat 7环境变量?
http://cn.voidcc.com/question/p-dwgxcknn-us.html
http://www.voidcn.com/article/p-zvpcrcpu-bur.html
https://blog.csdn.net/silvita/article/details/73294628
How to set umask for Docker container?
https://codeyarns.com/2017/07/21/how-to-set-umask-for-docker-container
http://widerin.net/blog/change-umask-in-docker-containers
https://stackoverflow.com/questions/46891571/fix-umask-for-future-run-commands-in-dockerfile
来源:CSDN
作者:HunterMichaelG
链接:https://blog.csdn.net/michaelwoshi/article/details/103245957