下文由GPT总结得出

在使用 Docker 部署如 Nexus 这类服务时，经常会遇到一个看似简单但非常容易踩坑的问题：文件权限 UID 不一致导致的 AccessDeniedException。本文结合实际案例，系统梳理 Linux UID 机制、Docker 容器用户模型，以及 Nexus 的权限设计逻辑。

一、Linux 权限的本质：只认 UID，不认用户名

Linux 文件系统权限模型的核心是：

一切权限判断基于 UID（数字），而不是用户名

例如：

UID	含义
0	root
1000+	普通用户

因此：

claves（用户）本质是 UID=1000
nexus（容器用户）本质是 UID=200

系统只关心数字，不关心名字。

二、为什么 Ubuntu 默认用户是 1000:1000？

在 Ubuntu（以及大多数 Linux 发行版）中：

第一个创建的普通用户默认 UID = 1000

这是历史约定：

UID 范围	用途
0	root
1–999	系统服务用户
1000+	普通用户

因此：

Ubuntu 安装时创建的第一个用户 → 1000:1000
这是“默认惯例”，不是标准强制

三、Docker 容器里的 UID 并不统一

一个常见误解是：

“Docker 容器是不是默认都是 200？”

答案是：不是

Docker 本身不定义 UID，UID 完全由镜像决定。

例如：

软件	默认 UID
Nexus	200
MySQL	999
Jenkins	1000 或 1001
Redis	999
Ubuntu 容器	0（root）

👉 UID 是“镜像设计决策”，不是 Docker 规则。

四、为什么 Nexus 使用 UID 200？

Sonatype Nexus Repository 镜像内部通常定义：

nexus 用户 = UID 200

原因：

避免与宿主机 1000 用户冲突
固定运行用户便于权限管理
安全隔离容器进程

因此：

Nexus 进程默认运行在 UID=200

五、权限冲突的本质：创建 vs 访问的差异

Linux 权限有一个关键点：

操作	要求
读取已有文件	文件权限
创建新文件	目录写权限 + UID 匹配

典型冲突场景

宿主机：

UID = 1000

容器：

UID = 200

结果：

已存在文件：可能还能访问
删除后重建：无法创建文件 ❌

六、为什么“以前能用，现在不能用”？

这是最容易误解的点。

旧状态：

DB 文件已存在
权限可能被放宽（777 / 666）
Nexus 只是读取

👉 所以看起来“正常”

新状态：

你执行：

rm -rf /nexus-data/db/*

导致：

文件消失
Nexus 必须重新创建 DB

👉 创建文件需要目录权限匹配 UID

冲突发生：

目录 owner = 1000
进程 UID = 200
无写权限 ❌

七、为什么不能统一用 1000:1000？

很多人会问：

“为什么不统一 UID？”

原因是：

1️⃣ 容器内部 UID 是写死的

Nexus 进程默认：

UID = 200

无法自动变成 1000。

2️⃣ 改 UID 会破坏兼容性

如果强行改为 1000：

某些路径权限逻辑失效
官方默认配置不匹配
容易引发隐性问题

八、正确的工程实践（关键）

标准做法是：

让宿主机目录归属匹配容器运行 UID

Nexus 正确修复：

chown -R 200:200 /nexus-data

原则：

谁运行服务，谁拥有数据目录

九、1000 和 200 的本质关系总结

来源	UID	含义
Ubuntu 用户	1000	人类操作用户
Nexus 容器	200	服务进程用户

👉 它们不是标准冲突，而是：

两个独立系统的默认用户设计碰撞

十、核心结论（非常重要）

我们可以总结为三条核心原则：

1️⃣ Linux 不认用户名，只认 UID

2️⃣ Ubuntu 默认用户是 1000，但不是标准

3️⃣ Docker UID 由镜像决定，不由 Docker 决定

十一、最重要的一句话

Docker + Linux 权限问题的本质不是“谁对谁错”，而是“运行 UID 与文件归属 UID 是否一致”。

十二、工程建议（避免再次踩坑）

在生产环境中：

永远不要依赖默认 1000
永远对挂载目录执行 chown
明确服务 UID（如 Nexus=200）
避免混用宿主机写入与容器写入

Docker、Linux UID 与 Nexus 权限问题全解析：为什么 1000:1000 和 200:200 会冲突？