我来帮你一步步搞定这两个权限坑：

问题1：Cron运行时出现root: Permission denied错误 #

根源分析 #

你在第二阶段安装了busybox-suid，这个包会给busybox的二进制文件加上SUID权限位。当你以非root用户scrapy启动crond时，带SUID的crond会尝试切换到root身份去读取所有用户的crontab（包括root的），但scrapy用户没有权限访问root的crontab文件，于是就抛出了权限拒绝的错误。

修复方案 #

1. 移除busybox-suid的安装，alpine默认的busybox已经包含了crond，而且不需要SUID就能让非root用户运行自己的crontab。
2. 调整crond的启动参数，确保它只处理scrapy用户的任务（非root用户运行时默认只会加载自己的crontab，这一步是双重保障）。

问题2：非Root用户无法写入挂载的/backup卷 #

根源分析 #

你在第二阶段的Dockerfile里覆盖了baseStage的ENTRYPOINT为tini，导致baseStage中用于修复权限的docker-entrypoint.sh完全没执行。而且，就算你在第二阶段创建/backup时执行了chown，当宿主机卷挂载进来后，容器内/backup的权限会被宿主机目录的权限覆盖，之前的chown操作等于白做。

修复方案 #

1. 保留baseStage的entrypoint脚本，同时结合tini使用（让entrypoint脚本最后调用tini来启动crond）。
2. 修改entrypoint脚本，明确对/backup目录设置权限，确保挂载后scrapy用户有写入权限。
3. （可选但推荐）在宿主机上提前把备份目录的所有者设置为uid=1000（和容器内scrapy用户的uid一致），这样挂载后权限自动匹配，不需要每次启动都调整。

修改后的完整配置 #

1. 调整第二阶段Dockerfile #

############################################################
# STAGE 2
############################################################
FROM baseStage
MAINTAINER rey
ENV TZ=UTC
RUN ln -snf /usr/share/zoneinfo/$TZ /etc/localtime && echo $TZ > /etc/timezone
# 移除busybox-suid，用默认的busybox即可
RUN apk add tini bash build-base curl
# 创建/backup目录（挂载卷时会被覆盖，但先做好目录结构）
RUN mkdir /backup && chown scrapy:scrapy /backup
# 配置scrapy用户的crontab
COPY crontab /var/spool/cron/crontabs/scrapy
RUN chmod 0600 /var/spool/cron/crontabs/scrapy
RUN chown scrapy:scrapy /var/spool/cron/crontabs/scrapy
RUN touch /var/log/cron.log
RUN chown scrapy:scrapy /var/log/cron.log
# 切换到scrapy用户
WORKDIR /home/scrapy
USER scrapy
VOLUME /backup
# 不要覆盖entrypoint，保留baseStage的entrypoint，在脚本里调用tini启动crond
CMD ["tini", "--", "crond", "-f", "-l", "8", "-L", "/var/log/cron.log"]

2. 修改docker-entrypoint.sh脚本 #

#!/usr/bin/env bash
# 确保/backup目录的权限正确
chown -R scrapy:scrapy /backup
# 执行传入的命令（这里就是tini启动crond）
exec su-exec scrapy "$@"

3. 宿主机目录权限预处理（可选） #

在宿主机上执行这条命令，确保备份目录的所有者和容器内scrapy用户的uid一致：

sudo chown -R 1000:1000 /home/rey/Volumes/mongo/backup

验证方法 #

启动容器后，你可以：

1. 查看/var/log/cron.log，应该不再出现权限拒绝错误，每分钟会有任务执行的日志。
2. 进入容器执行touch /backup/testFile，应该能成功创建文件。
3. 查看宿主机的/home/rey/Volumes/mongo/backup目录，应该能看到testCRON和testFile文件，所有者是你的宿主机用户（uid=1000）。

内容的提问来源于stack exchange，提问作者reyman64