Задать вопрос
@dan0sss
docker

Как максимально ограничить права приложения в контейнере?

Есть контейнер alpine на котором запускается джава приложение, и все, что нужно для его работы, хранится вместе с самим же приложением в одной папке. Нужно максимально ограничить доступ к контейнеру: запретить джаве выходить за пределы своей директории, взаимодействовать с любыми сервисами, даже с папкой bin т.к. все зависимости хранятся в одной с ней же директорией. Как это лучше сделать без chroot? (Наслышан что его легко обойти)
  • Вопрос задан
  • 90 просмотров
1 комментарий
Подписаться 1 Простой 1 комментарий
Решения вопроса 1
@MadridianFox
Web-программист, многостаночник
Попробуйте использовать distorless образ - в нем нет ничего кроме рантайма необходимого вам ЯП. Этот вариант более универсальный.

Другой вариант - использовать AppArmor. Здесь уже образ не совсем самодостаточный и надо ещё запустить контейнер с особыми флагами. Зато получается именно то что вам нужно - явный запрет на конкретные действия.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Drno
Докер и так ограничен контейнером
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы
Вакансии с Хабр Карьеры
Senior Backend разработчик (PHP 8, Symfony 6, PostgreSQL)
TextMagic
от 5 000 $
Разработчик на Vue.js
Checkngo
от 60 000 до 140 000 ₽
DevOps/Backend разработчик
Idea Platform
от 90 000 до 200 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Django
26 апр. 2024, в 09:18
500 руб./в час
Devops для видео сервиса
26 апр. 2024, в 06:46
1500 руб./в час
Найти ошибку flutter_map
26 апр. 2024, в 05:31
1000 руб./за проект
Ещё заказы