Dockerコンテナでアプリを実行するための権限

Dockerコンテナでアプリを実行するための権限

私はRubyアプリを実行するDockerイメージを構築しています。これは基本的に、プーマ、イメージ内に存在するいくつかのバイナリ、Python コード、その他のものを利用します。

問題は、バイナリがベースイメージ (多段階ビルドですが、分離されています) であり、そのイメージはユーザーを指定せずにビルドされました (つまり、ユーザーがroot使用されました)。

画像はノマドクラスター(k8s に似ています)。ここでの質問は次のとおりです。

  1. rootこのイメージ内のユーザーだけがユーザーと一緒に実行されるのは本当に危険ですかroot? 明らかなこと以外に、セキュリティ上の懸念を指摘できる人はいますか?
  2. これを実行するのは非常に危険である場合、ここでの最善の解決策は何でしょうか? 必要なものすべてを から にコピーすることを考えました/root//home/unprivileged_user、コピーしたときに機能するかどうかわからないものがいくつかあります/root/.pyenv。例:

助けてくれてありがとう!

関連情報