第 13 章 在 RHEL 的镜像模式下管理用户、组、SSH 密钥和 secret

在面向软件包的系统中，您可以使用以下命令，使用派生的构建来注入用户和凭证：

RUN useradd someuser

RUN useradd someuser

您可以在 useradd 的默认 shadow-utils 实现中发现问题：用户和组 ID 是动态分配的，这可能导致偏移。

对于使用持久性 /home /var/home 配置的系统，在初始安装后，对容器镜像的 /var 所做的任何更改都不会应用到后续更新中。

例如，如果您将 /var/home/someuser/.ssh/authorized_keys 注入到一个容器构建中，则现有的系统不会获得更新的 authorized_keys 文件。

对于系统用户，在可能的时候使用 systemd DynamicUser=yes 选项。

这比在软件包安装时分配用户或组的模式要好得多，因为它避免了潜在的 UID 或 GID 偏移。

nss-altfiles 将系统用户分成 /usr/lib/passwd 和 /usr/lib/group，与 OSTree 项目处理 3 的合并方式保持一致，因为它与 /etc /passwd 相关。目前，如果 /etc/passwd 文件在本地系统上以任何方式被修改，则不会在容器镜像中应用对 /etc/passwd 的后续更改。

rpm-ostree 构建的基础镜像默认启用了 nss-altfiles。

另外，基础镜像有一个由 NSS 文件管理和预分配的系统用户，以避免 UID 或 GID 偏移。

在派生的容器构建中，您还可以将用户附加到 /usr/lib/passwd 中，例如：使用 sysusers.d 或 DynamicUser=yes。

例如，在派生的构建中使用 systemd-sysusers。如需更多信息，请参阅 systemd -sysusers 文档。

COPY mycustom-user.conf /usr/lib/sysusers.d

COPY mycustom-user.conf /usr/lib/sysusers.d

sysusers 工具在引导过程中根据需要更改传统的 /etc/passwd 文件。如果 /etc 是持久的，则这可以避免 UID 或 GID 偏移。这意味着 UID 或 GID 分配取决于特定机器随时间升级的方式。

文件系统布局取决于基础镜像。

默认情况下，用户数据存储在 /etc、/etc/passwd、/etc/shadow 、groups 以及 /home中，具体取决于基础镜像。但是，通用基础镜像必须是机器本地持久状态。在此模型中，/home 是到 /var/home/user 的符号链接。

对于 /etc 和 /var 被默认配置为持久的基础镜像，您可以使用 Anaconda 或 Kickstart 等安装程序注入用户。

通常，通用安装程序是为一次性 bootstrap 而设计的。然后，配置成为一个可变的机器本地状态，您可以使用一些其他机制在第 2 天操作中进行更改。

您可以使用 Anaconda 安装程序设置初始密码。但是，更改此初始密码需要不同的系统内工具，如 passwd。

这些流在 bootc 兼容 系统中等效地工作，以支持用户直接安装通用基础镜像，而无需更改为不同的系统内工具。

许多操作系统部署最小化持久、可变和可执行状态。这可能会损坏用户主目录。

/home 目录可以被设置为 tmpfs，以确保用户数据在重启后被清除。当与临时 /etc 目录结合时，此方法工作得非常好。

要将用户的主目录设置为，例如，注入 SSH authorized_keys 或其他文件，请使用 systemd tmpfiles.d 片断：

f~ /home/user/.ssh/authorized_keys 600 user user - <base64 encoded data>

f~ /home/user/.ssh/authorized_keys 600 user user - <base64 encoded data>

SSH 嵌入在镜像中，如：/usr/lib/tmpfiles.d/<username-keys.conf。另一个示例是嵌入在镜像中的服务，其可以从网络获取密钥并编写它们。这是 cloud-init 使用的模式。