在 Kubernetes(k8s)中,使用 kubectl exec 命令进入容器时,默认用户取决于容器镜像(Dockerfile)中定义的 USER 指令。如果镜像未指定任何用户(这是大多数基础镜像如 ubuntu 或 alpine 的默认情况),则默认用户为 root(UID 0)。
详细说明
- 默认行为:Kubernetes 不会强制更改容器的运行用户,它遵循镜像的配置。root 用户默认允许启动和执行,因为它具有最高权限。
- 安全最佳实践:为了提升安全性,建议在 Pod 或 Container 的 SecurityContext 中设置
runAsNonRoot: true和runAsUser: <非0 UID>(如 1000),强制容器以非 root 用户运行。 这可以防止潜在的权限提升攻击。 - 如何指定用户进入容器:
kubectl exec目前不支持直接的--user标志(如 Docker 的docker exec),因此需在镜像构建或 Pod 配置中预设。 如果需要切换用户,可在 exec 后使用su或sudo命令(前提是容器内已安装)。
如果你的镜像已指定非 root 用户(如 USER 1000),则 exec 时默认就是该用户。