我之前在做Docker项目时，也碰到过几乎一模一样的权限坑——既要让容器内的非Root用户和主机非Root用户能双向读写共享卷，又要限制容器用户访问卷内的非授权文件，折腾了好几天才捋清楚逻辑。下面给你分享可行的配置方案和常见异常的排查思路：

一、先搞定最关键的：UID/GID 必须匹配 #

Linux的权限系统认的是用户ID（UID）和组ID（GID），不是用户名。所以容器内的非Root用户和主机的非Root用户必须拥有完全相同的UID和GID，这是双向读写的基础。

• 先查你主机用户的UID和GID：

  id -u your_host_username  # 输出比如1001
  id -g your_host_username  # 输出比如1001
  

• 构建Docker镜像时，手动指定创建用户的UID和GID，别让系统自动分配：

  # 创建组并指定GID
  RUN groupadd -g 1001 app-group
  # 创建用户并绑定到上面的组，同时指定UID
  RUN useradd -u 1001 -g app-group -m app-user
  # 切换到这个非Root用户运行容器
  USER app-user
  

  把上面的1001替换成你实际查到的主机用户UID/GID就行。

二、挂载卷的权限配置 #

搞定用户ID匹配后，接下来设置卷的权限，确保双向读写同时限制访问范围：

1. 先在主机上配置共享目录权限：

   # 创建共享目录
   mkdir -p /home/your_host_user/docker-shared
   # 设置主机用户为目录所有者，权限设为750（同组可读写，其他用户无权限）
   chown your_host_user:your_host_group /home/your_host_user/docker-shared
   chmod 750 /home/your_host_user/docker-shared
   

2. 运行容器时指定用户并挂载卷：

   docker run -d \
     --user 1001:1001 \  # 这里是之前匹配的UID:GID
     -v /home/your_host_user/docker-shared:/app/shared \
     your-image-name
   

三、限制容器用户访问卷内非授权文件 #

要实现容器用户只能碰授权文件，得从两个层面控制：

• 挂载范围要精准：别挂载主机的大目录（比如/home），只挂载需要共享的特定子目录，减少风险。
• 用ACL细粒度控制权限：如果卷里有部分文件不想让容器用户访问，可以用Linux ACL来移除它的访问权限：

  # 先给共享目录添加基础ACL，允许主机/容器用户（同一UID）读写
  setfacl -m u:1001:rwx /home/your_host_user/docker-shared
  # 对非授权文件，移除容器用户的所有权限
  setfacl -x u:1001 /home/your_host_user/docker-shared/restricted-file.txt
  

  这样容器里的app-user就没法访问这个restricted-file.txt了。

四、你提到的“运行卷时异常”？大概率是这几个坑 #

我之前踩过的异常基本都在这几个点里：

• UID/GID不匹配：进入容器查id app-user，对比主机的id your_host_user，如果ID不一样，肯定会有权限问题——要么容器写不了主机目录，要么主机读不了容器生成的文件。
• 卷初始权限被Root抢占：如果是新建的卷，Docker可能会自动以Root权限创建容器内的挂载目录，导致非Root用户没法写入。解决方法是在镜像里提前创建目录并设置所有者：

  RUN mkdir -p /app/shared && chown app-user:app-group /app/shared
  

• SELinux/AppArmor拦截：如果主机开了SELinux，可能会阻止容器用户读写主机目录。可以先临时关闭SELinux测试（setenforce 0），如果正常了，就给共享目录添加SELinux上下文：

  chcon -Rt svirt_sandbox_file_t /home/your_host_user/docker-shared
  

内容的提问来源于stack exchange，提问作者Waldo