Задать вопрос
@dan0sss
docker

Как максимально ограничить права приложения в контейнере?

Есть контейнер alpine на котором запускается джава приложение, и все, что нужно для его работы, хранится вместе с самим же приложением в одной папке. Нужно максимально ограничить доступ к контейнеру: запретить джаве выходить за пределы своей директории, взаимодействовать с любыми сервисами, даже с папкой bin т.к. все зависимости хранятся в одной с ней же директорией. Как это лучше сделать без chroot? (Наслышан что его легко обойти)
  • Вопрос задан
  • 102 просмотра
1 комментарий
Подписаться 1 Простой 1 комментарий
Помогут разобраться в теме Все курсы
  • Яндекс Практикум
    Python-разработчик
    10 месяцев
    Далее
  • Яндекс Практикум
    Мидл фронтенд-разработчик
    5 месяцев
    Далее
  • Яндекс Практикум
    Инженер облачных сервисов
    2 месяца
    Далее
Решения вопроса 1
@MadridianFox
Web-программист, многостаночник
Попробуйте использовать distorless образ - в нем нет ничего кроме рантайма необходимого вам ЯП. Этот вариант более универсальный.

Другой вариант - использовать AppArmor. Здесь уже образ не совсем самодостаточный и надо ещё запустить контейнер с особыми флагами. Зато получается именно то что вам нужно - явный запрет на конкретные действия.
Ответ написан
Комментировать
Комментировать
Пригласить эксперта
Ответы на вопрос 1
@Drno
Докер и так ограничен контейнером
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Python Backend Developer
SLLR.market
от 250 000 до 320 000 ₽
Python разработчик
Космос Про Медиа Москва
от 180 000 до 200 000 ₽
Backend Tech Lead / техлид
Невасофт Санкт-Петербург
от 300 000 ₽
Ещё вакансии