diff --git a/docs/docker.md b/docs/docker.md index ae62cb4..2bd1e11 100644 --- a/docs/docker.md +++ b/docs/docker.md @@ -146,11 +146,38 @@ RUN \ # Add additional capability to bind to port 80 and 443 setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \ # Give write access to /data/caddy and /config/caddy - chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy; + chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy USER ${USER} ``` +### Running With No Capabilities + +Even when running rootless, FrankenPHP needs the `CAP_NET_BIND_SERVICE` capability to bind the +web server on privileged ports (80 and 443). + +If you expose FrankenPHP on a non-privileged port (1024 and above), it's possible to run +the webserver as a non-root user, and without the need for any capability: + +```dockerfile +FROM dunglas/frankenphp + +ARG USER=www-data + +RUN \ + # Use "adduser -D ${USER}" for alpine based distros + useradd -D ${USER}; \ + # Remove default capability + setcap -r /usr/local/bin/frankenphp; \ + # Give write access to /data/caddy and /config/caddy + chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy + +USER ${USER} +``` + +Next, set the `SERVER_NAME` environment variable to use an unpriviliegied port. +Example: `:8000` + ## Updates The Docker images are built: diff --git a/docs/fr/docker.md b/docs/fr/docker.md index ac1212e..fb1c2c3 100644 --- a/docs/fr/docker.md +++ b/docs/fr/docker.md @@ -145,11 +145,37 @@ RUN \ # Ajouter la capacité supplémentaire de se lier aux ports 80 et 443 setcap CAP_NET_BIND_SERVICE=+eip /usr/local/bin/frankenphp; \ # Donner l'accès en écriture à /data/caddy et /config/caddy - chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy; + chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy USER ${USER} ``` +### Exécution sans capacité + +Même lorsqu'il s'exécute en tant qu'utilisateur autre que root, FrankenPHP a besoin de la capacité `CAP_NET_BIND_SERVICE` +pour que son serveur utilise les ports privilégiés (80 et 442). + +Si vous exposez FrankenPHP sur un port non privilégié (à partir de 1024), il est possible de faire fonctionner le serveur web avec un utilisateur qui n'est pas root, et sans avoir besoin d'aucune capacité. + +```dockerfile +FROM dunglas/frankenphp + +ARG USER=www-data + +RUN + # Utiliser "adduser -D ${USER}" pour les distros basées sur Alpine + useradd -D ${USER}; + # Supprimer la capacité par défaut + setcap -r /usr/local/bin/frankenphp; \ + # Donner un accès en écriture à /data/caddy et /config/caddy + chown -R ${USER}:${USER} /data/caddy && chown -R ${USER}:${USER} /config/caddy + +USER ${USER} +``` + +Ensuite, définissez la variable d'environnement `SERVER_NAME` pour utiliser un port non privilégié. +Exemple `:8000` + ## Mises à jour Les images Docker sont construites :