针对你提到的环境变量不安全、Swarm选项不适用的问题，这里有一个可靠的无手动操作方案，利用官方PostgreSQL镜像的初始化机制+主机端安全文件挂载来实现：

核心思路 #

官方PostgreSQL镜像在第一次启动初始化数据库时，会自动执行/docker-entrypoint-initdb.d/目录下的所有脚本。我们可以挂载一个自定义脚本到该目录，让它读取主机端权限严格的密码文件，执行SQL命令设置管理员密码——全程不需要暴露密码到环境变量，也无需手动进入容器操作。

步骤1：在主机端创建安全的密码文件 #

首先在主机上创建一个仅root可访问的目录和密码文件，确保密码不会被其他用户读取：

# 创建存储密码的目录
mkdir -p /secure/postgres
# 写入你的管理员密码（替换成你自己的强密码）
echo "MySuperSecurePass123!" > /secure/postgres/password
# 设置严格的权限：仅root可读可写，其他用户无任何权限
chmod 600 /secure/postgres/password
chown root:root /secure/postgres/password

步骤2：编写初始化密码的脚本 #

创建一个名为set_postgres_pw.sh的脚本，内容如下：

#!/bin/sh
set -e

# 仅在数据库第一次初始化时执行（避免重复设置）
if [ -z "$POSTGRES_PASSWORD" ] && [ -f /run/secrets/postgres_password ]; then
    # 从挂载的密码文件读取密码
    PG_PW=$(cat /run/secrets/postgres_password)
    # 执行SQL修改管理员密码
    psql -v ON_ERROR_STOP=1 --username "$POSTGRES_USER" --dbname "$POSTGRES_DB" <<-EOSQL
        ALTER USER $POSTGRES_USER WITH PASSWORD '$PG_PW';
EOSQL
    echo "✅ PostgreSQL admin password set successfully from secure file"
fi

给脚本添加执行权限：

chmod +x set_postgres_pw.sh

步骤3：启动容器（挂载文件+脚本） #

使用以下命令启动容器，将密码文件和初始化脚本以只读方式挂载到容器内：

docker run -d \
    --name postgres11 \
    # 挂载主机端的密码文件到容器内，只读模式
    -v /secure/postgres/password:/run/secrets/postgres_password:ro \
    # 挂载初始化脚本到镜像的初始化目录，只读模式
    -v ./set_postgres_pw.sh:/docker-entrypoint-initdb.d/set_postgres_pw.sh:ro \
    # 挂载数据卷持久化PostgreSQL数据
    -v postgres11_data:/var/lib/postgresql/data \
    postgresql:11-alpine

为什么这个方案安全？ #

• 密码不暴露在环境变量：docker inspect或容器内的env命令都看不到密码，避免了环境变量泄露的风险。
• 主机端权限严格：密码文件仅root可访问，其他用户无法读取。
• 容器内挂载只读：密码文件和脚本在容器内都是只读状态，防止被容器内的进程篡改。
• 仅执行一次：初始化脚本只会在数据库第一次创建时运行，后续重启容器不会重复执行，避免密码被意外重置。

内容的提问来源于stack exchange，提问作者Dimitri Kopriwa