WORKDIR 与 USER：构建安全、可维护容器的两大基石

在编写 Dockerfile 时，WORKDIR 和 USER 指令看似简单，常被开发者忽视。然而，它们在容器的可维护性、路径管理和安全性方面扮演着至关重要的角色。一个没有明确 WORKDIR 和非 root USER 的镜像，不仅难以维护，还可能成为生产环境中的安全漏洞。

通过合理使用 WORKDIR 和 USER，你可以遵循“最小权限原则”，防止路径混乱，并显著提升容器的安全边界。

一、WORKDIR：设置工作目录，避免路径混乱

WORKDIR 指令用于在镜像中设置当前工作目录。后续的 COPY、ADD、RUN、CMD、ENTRYPOINT 等指令都将在此目录下执行。

为什么必须设置 WORKDIR？

1. 避免绝对路径硬编码，提升可移植性
   如果不设置 WORKDIR，所有路径都需使用绝对路径（如 /app/src、/usr/src/app），容易出错且难以维护。

2. 防止路径混乱，提升可读性
   明确的工作目录让 Dockerfile 更清晰。例如：

   WORKDIR /app
   COPY package.json .
   RUN npm ci
   COPY . .

   比以下写法更直观：

   COPY package.json /app/
   RUN cd /app && npm ci
   COPY . /app/

3. 避免意外覆盖系统目录
   如果在根目录执行 COPY . .，可能意外覆盖 /etc、/bin 等关键系统目录。WORKDIR 提供了一个隔离的、应用专属的空间。

4. 支持多阶段构建中的目录隔离
   在多阶段构建中，不同阶段可使用不同的 WORKDIR，避免文件路径冲突。

最佳实践

• 统一使用 /app 或 /usr/src/app 作为应用目录，社区共识强，易于理解。
• 在 Dockerfile 开头尽早设置 WORKDIR，确保后续指令都在正确上下文中执行。

FROM node:18-slim
WORKDIR /app  # 尽早设置

二、USER：最小权限原则，防止容器逃逸

默认情况下，Docker 容器以内置的 root 用户运行。这意味着容器内的进程拥有最高权限，一旦被攻击者控制，可能利用此权限进行容器逃逸（Container Escape），进而影响宿主机或其他容器。

安全风险示例

# 危险！以 root 运行
CMD ["node", "dist/main.js"]

如果应用存在远程代码执行（RCE）漏洞，攻击者可以：

• 修改容器内任意文件
• 安装恶意软件
• 挂载宿主机文件系统（若容器以 --privileged 或挂载 / 运行）
• 甚至利用内核漏洞逃逸到宿主机

解决方案：使用非 root 用户

Docker 镜像（如 node:18）通常预置了非 root 用户（如 node 用户，UID 1000）。

# 创建专用用户（可选）
# RUN adduser -u 1001 -D appuser

# 切换到非 root 用户
USER node

# 以 node 用户身份运行应用
CMD ["node", "dist/main.js"]

优势

1. 遵循最小权限原则（Principle of Least Privilege）
   应用仅拥有运行所需的最低权限，无法修改系统文件、安装软件或访问其他用户数据。

2. 防止容器逃逸
   即使攻击者控制了进程，也无法执行需要 root 权限的操作（如 mount、chown、iptables），大大降低攻击面。

3. 符合安全合规要求
   PCI-DSS、SOC2、GDPR 等安全标准要求限制权限，使用非 root 用户是基本要求。

4. Kubernetes 友好
   Kubernetes 可以配置 PodSecurityPolicy 或 SecurityContext 强制禁止以 root 运行容器。使用非 root 用户可确保应用在严格安全策略下仍能运行。

注意事项

• 文件权限：确保 COPY 的文件对非 root 用户可读。

  COPY --chown=node:node . .

• 端口绑定：非 root 用户无法绑定 1024 以下的端口（如 80、443）。应用应使用 3000、8080 等高位端口，由反向代理（如 Nginx、Ingress）处理 80/443 转发。
• 自定义用户：对于更高安全要求，可创建专用用户并指定 UID/GID，避免依赖镜像内置用户。

三、综合示例：安全的 NestJS/Bun 项目 Dockerfile

# 构建阶段
FROM node:18 AS builder
WORKDIR /app
COPY package*.json ./
RUN npm ci
COPY . .
RUN npm run build

# 运行阶段
FROM node:18-alpine
WORKDIR /app

# 复制构建产物，归属 node 用户
COPY --from=builder --chown=node:node /app/dist ./dist
COPY --from=builder --chown=node:node /app/package.json ./

# 切换到非 root 用户
USER node

# 验证权限（可选）
RUN ls -la

# 以 node 用户运行应用
CMD ["node", "dist/main.js"]

四、总结

指令	作用	安全/维护收益
WORKDIR	设置应用工作目录	避免路径混乱，提升可读性和可移植性
USER	以非 root 用户运行进程	防止容器逃逸，遵循最小权限原则

• WORKDIR 是工程规范的体现：它让 Dockerfile 更清晰、更专业，避免“路径地狱”。
• USER 是安全加固的核心：它将攻击面从“整个系统”缩小到“单个应用”，是生产环境的必备配置。

在 TypeScript、Nest、Bun 项目中，应用通常无须系统级权限，完全可以在非 root 用户下运行。从第一个 Dockerfile 开始就养成设置 WORKDIR 和 USER 的习惯，是迈向安全、可维护容器化开发的关键一步。