Ich erstelle ein Docker-Image, das eine Ruby-App ausführt, die im Grunde ein Webserver ist, der mitPuma, und nutzen Sie verschiedene Binärdateien, Python-Code und andere Dinge, die im Image vorhanden sind.
Die Sache ist, dass die Binärdateien kommen aus demBaseImage (es handelt sich um einen mehrstufigen Build, aber getrennt, falls das Sinn ergibt) und dieses Image wurde ohne Angabe eines Benutzers erstellt (d. h. es rootwurde der Benutzer verwendet).
Das Bild wird in einemNomadeCluster (ähnlich wie k8s). Die Fragen hier sind also:
- Ist es wirklich riskant, nur den
rootBenutzer in diesem Image mit demrootBenutzer laufen zu lassen? Kann jemand auf Sicherheitsbedenken hinweisen, die über das Offensichtliche hinausgehen? - Falls dies sehr riskant ist, was wäre hier die beste Lösung? Ich habe darüber nachgedacht, alles, was ich brauche, von nach zu kopieren,
/root/aber es gibt einige Dinge, bei denen ich nicht sicher bin, ob sie nach dem Kopieren funktionieren würden ,/home/unprivileged_userz. B. ./root/.pyenv
Danke für die Hilfe!