@Viji
Привет всем,
хочу спросить из общих практик, заставляете ли вы ваших разработчиков в своих Dockerfiles писать директиву типа
USER just_user
перед, собственно главным процессом — например для dotnet application
ENTRYPOINT ["dotnet", "aspnetapp.dll"]
Или небходимости менят пользователя на не рута нет?
всем добра,
Вадим
Решения вопроса 0
Ответы на вопрос 3
@romesses
Рекомендуется использовать не-root пользователя
https://sysdig.com/blog/dockerfile-best-practices/
https://sysdig.com/blog/dockerfile-best-practices/
Еще есть сканеры уязвимостей в образах Docker.
Но на практике многим начихать на безопасность. Так что вы хотя бы постарайтесь приложить минимальные усилия.
@Zarom
Не заставляем, но в соответствии с политиками наш Кубернетс откажет в запуске контейнеров от пользователя с id0, либо переопределит пользователя(обычно на id 1000) в момент запуска — в зависимости от варианта доставки сервиса.
@Viji
Дмитрий, а где в Кубернетесе описываются такие политики? Можно пример yaml файла?