В большинстве образов не прописан uid. Соответственно процесс работает от рута. Для дополнительной безопасности требуется запускать контейнер от непривилегированного пользователя.
В связи с чем у меня вопросы:
-
К примеру в образе в /etc/passwd нет пользователя с uid=1000. Но я запускаю от этого uid. Что может пойти не так?
-
Во всех образах (которые я видел) есть пользователь вроде nobody 65534. Кажется, что более безопасно запускать от такого пользователя. Как минимум - у него /home прописан, хоть и прав на этот home нет, но интуитивно кажется, что меньше шансов напороться на неожиданное поведение программы.
В целом вижу, что каждый делает как хочет, но кажется правильней стремиться к единообразному поведению.
