私はRubyアプリを実行するDockerイメージを構築しています。これは基本的に、プーマ、イメージ内に存在するいくつかのバイナリ、Python コード、その他のものを利用します。
問題は、バイナリがベースイメージ (多段階ビルドですが、分離されています) であり、そのイメージはユーザーを指定せずにビルドされました (つまり、ユーザーがroot
使用されました)。
画像はノマドクラスター(k8s に似ています)。ここでの質問は次のとおりです。
root
このイメージ内のユーザーだけがユーザーと一緒に実行されるのは本当に危険ですかroot
? 明らかなこと以外に、セキュリティ上の懸念を指摘できる人はいますか?- これを実行するのは非常に危険である場合、ここでの最善の解決策は何でしょうか? 必要なものすべてを から にコピーすることを考えました
/root/
が/home/unprivileged_user
、コピーしたときに機能するかどうかわからないものがいくつかあります/root/.pyenv
。例:
助けてくれてありがとう!