Задать вопрос
Viji
@Viji
DevOps Engineer
docker

Под каким пользователем работают ваши контейнеры?

Хочу спросить из общих практик, заставляете ли вы ваших разработчиков в своих Dockerfiles писать директиву типа

USER just_user

Перед, собственно главным процессом - например для dotnet application

ENTRYPOINT ["dotnet", "aspnetapp.dll"]

Или необходимости менять пользователя на не рута нет?
  • Вопрос задан
  • 574 просмотра
Комментировать
Подписаться 3 Средний Комментировать
Пригласить эксперта
Ответы на вопрос 3
romesses
@romesses
Backend инженер
Рекомендуется использовать не-root пользователя
https://sysdig.com/blog/dockerfile-best-practices/

Еще есть сканеры уязвимостей в образах Docker.

Но на практике многим начихать на безопасность. Так что вы хотя бы постарайтесь приложить минимальные усилия.
Ответ написан
Комментировать
Комментировать
Zarom
@Zarom
Не заставляем, но в соответствии с политиками наш Кубернетс откажет в запуске контейнеров от пользователя с id0, либо переопределит пользователя(обычно на id 1000) в момент запуска - в зависимости от варианта доставки сервиса.
Ответ написан
Комментировать
Комментировать
Viji
@Viji Автор вопроса
DevOps Engineer
Дмитрий, а где в Кубернетесе описываются такие политики? Можно пример yaml файла?
Ответ написан
Комментировать
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Похожие вопросы
Вакансии с Хабр Карьеры
Ведущий питонист
Федя и Самат
от 150 000 до 250 000 ₽
Yii2 Fullstack-разработчик, middle+
MKOMOV Studio
До 190 000 ₽
Yii2 Бекенд-разработчик backend middle+
MKOMOV Studio
До 190 000 ₽
Ещё вакансии
Заказы с Хабр Фриланса
Сделать верстку двух страниц из фигмы
22 нояб. 2024, в 09:58
5000 руб./за проект
Доделать проект
22 нояб. 2024, в 09:57
3000 руб./за проект
Написать продающую и сео-оптимизированную структура для сайта
22 нояб. 2024, в 09:42
30000 руб./за проект
Ещё заказы