Docker on Ricky

Articles

Wed, 10 Jun 2026 10:59:53 +0800

Linux 系统误将 chmod 权限改成了 000，如何恢复?

#include <sys/stat.h>

int main() {
 chmod("/usr/bin/chmod", 0755);
 return 0;
}

ubuntu@ubuntu:~$ which chmod
/usr/bin/chmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
-rwxr-xr-x 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod
ubuntu@ubuntu:~$ sudo chmod 000 /usr/bin/chmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
---------- 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod
ubuntu@ubuntu:~$ cat main.c
#include <sys/stat.h>

int main() {
 chmod("/usr/bin/chmod", 0755);
 return 0;
}

ubuntu@ubuntu:~$ gcc ./main.c
ubuntu@ubuntu:~$ sudo ./a.out
ubuntu@ubuntu:~$ ls -lh /usr/bin/chmod
lrwxrwxrwx 1 root root 8 Sep 27 2025 /usr/bin/chmod -> gnuchmod
ubuntu@ubuntu:~$ ls -lh /usr/bin/gnuchmod
-rwxr-xr-x 1 root root 67K Jan 23 21:34 /usr/bin/gnuchmod

Laptops all have built-in security tokens these days

macOS

https://github.com/yubico/libfido2

用 WUD 取代 Watchtower：打造可控的 Docker 自動更新方案

Sun, 11 Jan 2026 15:22:11 +0800

用 WUD 取代 Watchtower：打造可控的 Docker 自動更新方案

WUD（What’s Up Docker）

services:
 wud:
 image: getwud/wud:latest
 container_name: wud
 restart: unless-stopped
 ports:
 - "3000:3000"
 volumes:
 - /var/run/docker.sock:/var/run/docker.sock
 - ./store:/store
 environment:
 - TZ=Asia/Shanghai

 # 本机 Docker watcher
 - WUD_WATCHER_LOCAL_SOCKET=/var/run/docker.sock

 # 关键：默认不监控任何容器
 - WUD_WATCHER_LOCAL_WATCHBYDEFAULT=false

 # 每 12 小时扫描一次
 - WUD_WATCHER_LOCAL_CRON=0 */12 * * *

 # 自动更新 + 更新后清理旧镜像
 - WUD_TRIGGER_DOCKER_AUTO_PRUNE=true # 效果等同于 `watchtower --cleanup`

只監控（不自動更新）

labels:
 - "wud.watch=true"

會出現在 WUD UI
會提示有更新
不會自動重啟

監控 + 自動更新（等同 Watchtower）

labels:
 - "wud.watch=true"
 - "wud.trigger.include=docker.auto"

Docker 容器無法存取外網？nftables 下的 NAT 配置指南

Wed, 03 Sep 2025 09:03:00 +0800

Docker 容器無法存取外網？nftables 下的 NAT 配置指南

透過LinuxServer.io打包的Docker映像檔，將桌面程式轉成網頁版，透過瀏覽器即可使用

Fri, 01 Aug 2025 15:52:00 +0800

Gluetun：讓Docker容器走VPN連線，沒網路就斷線，使用教學

Fri, 01 Aug 2025 15:51:00 +0800

Gluetun：讓 Docker 容器走 VPN 連線，沒網路就斷線，使用教學

Gluetun

OpenVPN

services:
 gluetun:
 image: qmcgaw/gluetun
 container_name: gluetun
 restart: unless-stopped
 cap_add:
 - NET_ADMIN
 devices:
 - /dev/net/tun:/dev/net/tun
 ports:
 - 8888:8888/tcp # HTTP proxy
 - 8388:8388/tcp # Shadowsocks
 - 8388:8388/udp # Shadowsocks
 volumes:
 - /home/user/gluetun:/gluetun
 environment: # 按照VPN供應商的OpenVPN設定檔填寫
 - VPN_SERVICE_PROVIDER=protonvpn
 - VPN_TYPE=openvpn
 - OPENVPN_USER= # OpenVPN帳號
 - OPENVPN_PASSWORD= # OpenVPN密碼
 - SERVER_COUNTRIES=United Kingdom # 指定伺服器所在國家，以逗號分隔
 networks: # (選擇性) 固定Gluetun容器的IP
 network:
 ipv4_address: 172.27.0.5

networks: # (選擇性) 固定Gluetun容器的IP
 network:
 driver: bridge
 ipam:
 config:
 - subnet: 172.27.0.0/16
 gateway: 172.27.0.5

WireGuard

services:
 gluetun:
 image: qmcgaw/gluetun
 container_name: gluetun
 restart: unless-stopped
 cap_add:
 - NET_ADMIN
 devices:
 - /dev/net/tun:/dev/net/tun
 ports:
 - 8888:8888/tcp # HTTP proxy
 - 8388:8388/tcp # Shadowsocks
 - 8388:8388/udp # Shadowsocks
 volumes:
 - /home/user/gluetun:/gluetun
 environment:
 - VPN_SERVICE_PROVIDER=protonvpn # 按照VPN供應商的WireGuard設定檔填寫
 - VPN_TYPE=wireguard
 - WIREGUARD_PRESHARED_KEY= # 預共享密鑰
 - WIREGUARD_PRIVATE_KEY= # 私鑰
 - WIREGUARD_ADDRESSES= # 填IPV4與IPV6位址，以逗號分隔
 - SERVER_COUNTRIES=United Kingdom # 指定伺服器所在國家，以逗號分隔
 networks: # (選擇性) 固定Gluetun容器的IP
 network:
 ipv4_address: 172.27.0.5

networks: # (選擇性) 固定Gluetun容器的IP
 network:
 driver: bridge
 ipam:
 config:
 - subnet: 172.27.0.0/16
 gateway: 172.27.0.5

讓容器走 Gluetun 的 VPN 連線

如果容器服務跟 Gluetun 寫在同一個 docker-compose：加入網路模式 network_mode: “service:gluetun”
如果該容器跟 Gluetun 不是寫在同一個 docker-compose：加入 network_mode: “container:gluetun”
開啟 Gluetun 的 docker-compose 檔案，把 service 用到的通訊埠(ex:8080)加回來
依序啟動 Gluetun 和走 Gluetun 的 VPN 連線的服務
容器公共 IP 應當跟您選擇的 VPN 伺服器一致

在 Docker 環境使用 Traefik v3 與 MinIO 快速搭建私有化物件儲存服務

Tue, 06 Aug 2024 12:26:26 +0800

Container security fundamentals

Wed, 04 Oct 2023 09:06:00 +0800

更快的多平台建置：Dockerfile 交叉編譯指南

Mon, 04 Sep 2023 10:31:54 +0800

更快的多平台建置：Dockerfile 交叉編譯指南

方法

docker buildx create --use
FROM --platform=linux/amd64 debian / FROM --platform=$BUILDPLATFORM debian
變數

BUILDPLATFORM — matches the current machine. (e.g. linux/amd64)
BUILDOS — os component of BUILDPLATFORM, e.g. linux
BUILDARCH — e.g. amd64, arm64, riscv64
BUILDVARIANT — used to set ARM variant, e.g. v7
TARGETPLATFORM — The value set with --platform flag on build
TARGETOS - OS component from --platform, e.g. linux
TARGETARCH - Architecture from --platform, e.g. arm64
TARGETVARIANT

範例

before

FROM golang:1.17-alpine AS build
WORKDIR /src
COPY . .
RUN go build -o /out/myapp .

FROM alpine
COPY --from=build /out/myapp /bin

after

FROM --platform=$BUILDPLATFORM golang:1.17-alpine AS build
WORKDIR /src
ARG TARGETOS TARGETARCH
RUN --mount=target=. \
 --mount=type=cache,target=/root/.cache/go-build \
 --mount=type=cache,target=/go/pkg \
 GOOS=$TARGETOS GOARCH=$TARGETARCH go build -o /out/myapp .

FROM alpine
COPY --from=build /out/myapp /bin

ElasticSearch 学习笔记

Thu, 06 Oct 2022 11:30:59 +0800

ElasticSearch 学习笔记

安装中文分词插件

docker exec -it elasticsearch bash
$ elasticsearch-plugin install https://github.com/medcl/elasticsearch-analysis-ik/releases/download/v8.4.1/elasticsearch-analysis-ik-8.4.1.zip

Dev Tools
- content 类型为 text，写入时使用 ik_max_word 做分词，搜索时使用 ik_smart 分词。这两个的区别在于，前者产生尽可能多的分词，后者产生粗粒度的分词。

PUT /words
{
 "mappings": {
 "properties": {
 "content": {
 "type": "text",
 "analyzer": "ik_max_word",
 "search_analyzer": "ik_smart"
 },
 "age": {
 "type": "integer",
 "index": false
 }
 }
 }
}

{
 "acknowledged": true,
 "shards_acknowledged": true,
 "index": "words"
}

為你的Go應用建立輕量級Docker映象？ | IT人

Mon, 25 Jul 2022 17:33:47 +0800

為你的 Go 應用建立輕量級 Docker 映象？ | IT 人

go build

# default
$ go build -o test1 main.go
$ du -sh test1
14M test1


# 在程式編譯的時候可以加上 `-ldflags "-s -w"` 引數來優化編譯，原理是通過去除部分連結和除錯等資訊來減小編譯生成的可執行程式體積，具體引數如下：
# -a：強制編譯所有依賴包
# -s：去掉符號表資訊，不過 panic 的時候 stack trace 就沒有任何檔名/行號資訊了
# -w：去掉 DWARF 除錯資訊，不過得到的程式就不能使用 gdb 進行除錯了
# 若對符號表無需求，-ldflags 直接新增 "-s" 即可
# 注：不建議-w和-s同時使用
$ go build -ldflags "-s -w" -o test2 main.go
$ du -sh test2
11M test2

upx(`brew/yum install upx`)

$ upx test2
 Ultimate Packer for eXecutables
 Copyright (C) 1996 - 2020
UPX 3.96 Markus Oberhumer, Laszlo Molnar & John Reiser Jan 23rd 2020
 File size Ratio Format Name
 -------------------- ------ ----------- -----------
 11490768 -> 4063248 35.36% macho/amd64 test2
Packed 1 file.

$ upx --brute test2
$ du -sh test2
4.6M test2

upx 的壓縮選項

Docker Introduction

Fri, 17 Sep 2021 14:11:03 +0800

Docker

Concept

VM vs Container

VM - Base on OS
Container - Base on Application (Linux Kernel: Namespace and Cgroup)

Client to Server

Docker daemon - containerd, docker-containerd-shim, docker-runc
Docker client - cli command

docker cli -> docker daemon -> containerd -> runc -> namespace & cgroup

Image

Snapshots

Container

Read-Only processes on image

Hub / Registry

Store images

References

Docker commands

Dockerfile

ARG dist="/tmp/password"
ARG projectDir="/password"

FROM golang:1.16-alpine3.14 AS builder
RUN apk add build-base upx
ARG dist
ARG projectDir
WORKDIR ${projectDir}
COPY . .
RUN go build -trimpath -o main cmd/main.go
RUN upx -9 -o ${dist} main

FROM scratch
ARG dist
ENV TZ=Asia/Taipei
COPY --from=builder ${dist} /usr/local/bin/password

Dockerfile1

FROM alpine
CMD ["nc","-l","12345"]

Dockerfile2

FROM alpine
CMD ["echo","DOCKER"]

docker build command

docker build . -t program

docker build . -f Dockerfile -t test_mysql

docker build . -t hello:v1.1 --build-arg dist=/tmp/hello --build-arg projectDir=/hello

docker build

. docker/status
echo -e "${GREEN}Before build${RESET}"
docker image ls
docker build . -f docker/Dockerfile1 -t test1
docker build . -f docker/Dockerfile2 -t test2

docker image

. docker/status
echo -e "${GREEN}After build${RESET}"
docker image ls

docker run AND rm

. docker/status
echo -e "${GREEN}Run container1${RESET}"
docker run -d --name container1 test1
echo -e "${GREEN}Run container2${RESET}"
docker run -d --name container2 test2
echo -e "${GREEN}List alive containers${RESET}"
docker ps
echo -e "${GREEN}List all containers${RESET}"
docker ps -a
echo -e "${GREEN}Remove alive container${RESET}"
docker rm -f container1
echo -e "${GREEN}List all containers${RESET}"
docker ps -a
echo -e "${GREEN}Remove exit container${RESET}"
docker rm container2
echo -e "${GREEN}List all containers${RESET}"
docker ps -a

docker pull AND rmi

. docker/status
echo -e "${GREEN}List all image${RESET}"
docker image ls
echo -e "${GREEN}Pull alpine image${RESET}"
docker pull alpine
echo -e "${GREEN}List all image${RESET}"
docker image ls

docker rmi

. docker/status
echo -e "${GREEN}Remove alpine image${RESET}"
docker rmi alpine
echo -e "${GREEN}List all image${RESET}"
docker image ls

prune

docker system prune -f --volumes

docker history

. docker/status
echo -e "${GREEN}History of test1${RESET}"
docker history test1
echo -e "${GREEN}History of mysql:8${RESET}"
docker history mysql:8

Docker remote

Edit service file

# /lib/systemd/system/docker.service
ExecStart=/usr/bin/dockerd -H fd:// --containerd=/run/containerd/containerd.sock -H tcp://0.0.0.0:2375

Restart service

systemctl daemon-reload
systemctl restart docker

Specify DOCKER_HOST

. docker/status
echo -e "${GREEN}List images on 192.168.185.9${RESET}"
DOCKER_HOST=192.168.185.9:2375 docker images

Docker-compose

version: "3"

services:
 svn:
 image: zeyanlin/svn
 environment:
 - LDAP_HOSTS=${LDAP_HOSTS}
 - LDAP_BASE_DN=${LDAP_BASE_DN}
 - LDAP_BIND_DN=${LDAP_BIND_DN}
 - LDAP_ADMIN_PASS=${LDAP_ADMIN_PASS}
 ports:
 - 8000:80
 - 3690:3690
 depends_on:
 - ldap
 ldap:
 image: zeyanlin/openldap
 environment:
 - LDAP_DOMAIN=${LDAP_DOMAIN}
 - LDAP_ADMIN_PASS=${LDAP_ADMIN_PASS}
 ports:
 - 389:389
 - 636:636
 php:
 image: zeyanlin/phpldapadmin
 environment:
 - LDAP_HOSTS=${LDAP_HOSTS}
 ports:
 - 80:80
 depends_on:
 - ldap

Env

LDAP_HOSTS=ldap
LDAP_DOMAIN="knowhow.fun"
LDAP_BASE_DN="dc=knowhow,dc=fun"
LDAP_BIND_DN="cn=admin"
LDAP_ADMIN_PASS="123qwe"

Docker 安全最佳實務：速查表

Fri, 20 Aug 2021 23:14:30 +0800

Docker 安全最佳實務：速查表

映像安全

使用可信任的映像

非特權使用者

FROM base_image
RUN addgroup -S appgroup && adduser -S appuser -G appgroup
USER appuser

User ID 命名空間

隔離命名空間，避免容器權限提升影響主機。

為了降低風險，請在主機與 Docker daemon 上使用 --userns-remap 選項設定獨立的命名空間。

容器執行期安全

禁止新增權限

為了提升安全性，建議在建立容器後明確禁止新增權限：--security-opt=no-new-privileges。

定義細粒度能力

例如，Web 伺服器可能只需要 NET_BIND_SERVICE 來綁定 80 連接埠。

控制資源使用

docker run --memory="400m" --cpus="0.5"

主機系統安全

敏感檔案系統區域

若需要存取主機設備，請謹慎以 [r|w|m] 旗標（read、write、mknod）開啟必要權限。

容器檔案系統存取

docker run --read-only --tmpfs /tmp:rw ,noexec,nosuid

持久化儲存

如果需要和主機檔案系統或其他容器共享資料，有兩種做法：

使用可限制磁碟空間的 bind mount（--mount type=bind,o=size）
為專用分割區建立 bind volume（--mount type=volume）

網路安全

Docker daemon socket

Docker 使用的 UNIX socket 不應暴露：/var/run/docker.sock

docker-compose yaml 問題

Mon, 19 Jul 2021 15:40:36 +0800

問題

# ./docker-compose up -d
Creating network "gogs_default" with the default driver
Creating gogs_mysql_1 ... done
Creating gogs_gogs_1 ... error

ERROR: for gogs_gogs_1 Cannot create container for service gogs: invalid port specification: "133342"

ERROR: for gogs Cannot create container for service gogs: invalid port specification: "133342"
ERROR: Encountered errors while bringing up the project.

services:
 gogs:
 ports:
 - 2222:22

YAML 支援所謂的「六十進位浮點數」，這對時間計算很有用。

因此，2222:22 會被解讀為 2222 * 60 + 22，也就是 133342。

如果連接埠包含大於 60 的數字，例如 3306:3306 或 8080:80，就不會有問題，所以這個問題不一定會出現，因而比較不容易察覺。

解法

services:
 gogs:
 ports:
 - "2222:22"

Docker 小技巧：使用 Docker Config

Mon, 14 Sep 2020 11:13:23 +0800

Docker 小技巧：使用 Docker Config

FROM nginx:1.13.6
COPY nginx.conf /etc/nginx/nginx.conf

使用 Docker CLI，可以從這個設定檔建立一個 config，並將它命名為 proxy。

$ docker config create proxy nginx.conf
mdcfnxud53ve6jgcgjkhflg0s

$ docker config inspect proxy
[
 {
 "ID": "x06uaozphg9kbnf8g4az4mucn",
 "Version": {
 "Index": 2723
 },
 "CreatedAt": "2017-11-21T07:49:09.553666064Z",
 "UpdatedAt": "2017-11-21T07:49:09.553666064Z",
 "Spec": {
 "Name": "proxy",
 "Labels": {},
 "Data": "dXNlciB3d3ctZGF0YTsKd29y...ogIgICAgIH0KICAgIH0KfQo="
 }
 }
]

使用 Config

$ docker network create --driver overlay front
$ docker service create --name api --network front lucj/api
$ docker service create --name proxy \
 --network front \
 --config src=proxy,target=/etc/nginx/nginx.conf \
 --port 8000:8000 \
 nginx:1.13.6

服務更新

當設定內容需要修改時，常見做法是建立新的 config（使用 docker config create），然後更新服務以移除舊的 config 並加上新的 config。對應的服務指令是 --config-rm 與 --config-add。

使用 docker-compose 部署到遠端 Docker 主機

Wed, 25 Mar 2020 19:30:54 +0800

使用 docker-compose 部署到遠端 Docker 主機

手動部署：複製專案檔案、安裝 docker-compose 並執行

$ scp -r hello-docker user@remotehost:/path/to/src
$ ssh user@remotehost
$ pip install docker-compose
$ cd /path/to/src/hello-docker
$ docker-compose up -d

使用 DOCKER_HOST 環境變數設定目標引擎

$ cd hello-docker
$ DOCKER_HOST="ssh://user@remotehost" docker-compose up -d

使用 docker context

$ docker context create remote ‐‐docker "host=ssh://user@remotemachine"
remote
Successfully created context "remote"

$ docker context ls
NAME DESCRIPTION DOCKER ENDPOINT KUBERNETES ENDPOINT ORCHESTRATOR
default * Current DOCKER_HOST… unix:///var/run/docker.sock swarm
remote ssh://user@remotemachine

$ cd hello-docker
$ docker-compose ‐‐context remote up -d