docs: rootless Docker images with no capabilities

2024-11-23 08:39:21 +00:00 · 2024-05-13 10:42:39 +02:00 · 2024-05-13 10:42:39 +02:00 · cd2049f611
commit cd2049f611
parent 3dbb3fd48d
2 changed files with 55 additions and 2 deletions
--- a/docs/docker.md
+++ b/docs/docker.md
@ -146,11 +146,38 @@ RUN \
 	# Add additional capability to bind to port 80 and 443
 	setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \
 	# Give write access to /data/caddy and /config/caddy
-	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy;
+	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy

 USER ${USER}
 ```

+### Running With No Capabilities
+
+Even when running rootless, FrankenPHP needs the `CAP_NET_BIND_SERVICE` capability to bind the
+web server on privileged ports (80 and 443).
+
+If you expose FrankenPHP on a non-privileged port (1024 and above), it's possible to run
+the webserver as a non-root user, and without the need for any capability:
+
+```dockerfile
+FROM dunglas/frankenphp
+
+ARG USER=www-data
+
+RUN \
+	# Use "adduser -D ${USER}" for alpine based distros
+	useradd -D ${USER}; \
+	# Remove default capability
+	setcap -r /usr/local/bin/frankenphp; \
+	# Give write access to /data/caddy and /config/caddy
+	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy
+
+USER ${USER}
+```
+
+Next, set the `SERVER_NAME` environment variable to use an unpriviliegied port.
+Example: `:8000`
+
 ## Updates

 The Docker images are built:
--- a/docs/fr/docker.md
+++ b/docs/fr/docker.md
@ -145,11 +145,37 @@ RUN \
 # Ajouter la capacité supplémentaire de se lier aux ports 80 et 443
 setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \
 # Donner l'accès en écriture à /data/caddy et /config/caddy
- chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy;
+ chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy

 USER ${USER}
 ```

+### Exécution sans capacité
+
+Même lorsqu'il s'exécute en tant qu'utilisateur autre que root, FrankenPHP a besoin de la capacité `CAP_NET_BIND_SERVICE`
+pour que son serveur utilise les ports privilégiés (80 et 442).
+
+Si vous exposez FrankenPHP sur un port non privilégié (à partir de 1024), il est possible de faire fonctionner le serveur web avec un utilisateur qui n'est pas root, et sans avoir besoin d'aucune capacité.
+
+```dockerfile
+FROM dunglas/frankenphp
+
+ARG USER=www-data
+
+RUN
+	# Utiliser "adduser -D ${USER}" pour les distros basées sur Alpine
+	useradd -D ${USER};
+	# Supprimer la capacité par défaut
+	setcap -r /usr/local/bin/frankenphp; \
+	# Donner un accès en écriture à /data/caddy et /config/caddy
+	chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy
+
+USER ${USER}
+```
+
+Ensuite, définissez la variable d'environnement `SERVER_NAME` pour utiliser un port non privilégié.
+Exemple `:8000`
+
 ## Mises à jour

 Les images Docker sont construites :