LINUX.ORG.RU

Как правильно выбрать uid для контейнера?

 


0

2

В большинстве образов не прописан uid. Соответственно процесс работает от рута. Для дополнительной безопасности требуется запускать контейнер от непривилегированного пользователя.

В связи с чем у меня вопросы:

  1. К примеру в образе в /etc/passwd нет пользователя с uid=1000. Но я запускаю от этого uid. Что может пойти не так?

  2. Во всех образах (которые я видел) есть пользователь вроде nobody 65534. Кажется, что более безопасно запускать от такого пользователя. Как минимум - у него /home прописан, хоть и прав на этот home нет, но интуитивно кажется, что меньше шансов напороться на неожиданное поведение программы.

В целом вижу, что каждый делает как хочет, но кажется правильней стремиться к единообразному поведению.

★★★★

В большинстве образов не прописан uid. Соответственно процесс работает от рута. Для дополнительной безопасности требуется запускать контейнер от непривилегированного пользователя.

он не работает от хостового рута. namespace’ы имеют свои собственные пространства uid/gid никак не связанные с аналогичными у хоста

К примеру в образе в /etc/passwd нет пользователя с uid=1000. Но я запускаю от этого uid. Что может пойти не так?

ничего, если тебе не нужен login shell там

adn ★★★★
()
Ответ на: комментарий от firkax

Тебя ждут новые страдания. Контейнероделатели на всё это давно забили, тебе придётся вручную возиться постоянно.

почитал бы что ли что-нибудь для разнообразия. хотя бы википедию

adn ★★★★
()
Ответ на: комментарий от adn

он не работает от хостового рута. namespace’ы имеют свои собственные пространства uid/gid никак не связанные с аналогичными у хоста

Не очень понял, к чему это.

ничего, если тебе не нужен login shell там

А зачем мне может понадобиться login shell?

vbr ★★★★
() автор топика