@dan0sss

Как максимально ограничить права приложения в контейнере?

Есть контейнер alpine на котором запускается джава приложение, и все, что нужно для его работы, хранится вместе с самим же приложением в одной папке. Нужно максимально ограничить доступ к контейнеру: запретить джаве выходить за пределы своей директории, взаимодействовать с любыми сервисами, даже с папкой bin т.к. все зависимости хранятся в одной с ней же директорией. Как это лучше сделать без chroot? (Наслышан что его легко обойти)
  • Вопрос задан
  • 95 просмотров
Решения вопроса 1
@MadridianFox
Web-программист, многостаночник
Попробуйте использовать distorless образ - в нем нет ничего кроме рантайма необходимого вам ЯП. Этот вариант более универсальный.

Другой вариант - использовать AppArmor. Здесь уже образ не совсем самодостаточный и надо ещё запустить контейнер с особыми флагами. Зато получается именно то что вам нужно - явный запрет на конкретные действия.
Ответ написан
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Drno
Докер и так ограничен контейнером
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы