Я создаю образ Docker, который запускает приложение Ruby, которое по сути является веб-сервером, работающим сПумаи использовать несколько двоичных файлов, код Python и другие вещи, присутствующие в изображении.
Дело в том, что двоичные файлы поступают избазаобраз (это многоэтапная сборка, но раздельная, если это имеет смысл), и этот образ был создан без указания пользователя (т. е. rootбыл использован пользователь).
Изображение будет запущено вКочевниккластер (похож на k8s). Итак, вопросы здесь:
- Действительно ли рискованно иметь только
rootпользователя на этом изображении, работающего сrootпользователем? Может ли кто-нибудь указать на проблемы безопасности, помимо очевидных? - Если это очень рискованно, какое решение будет лучшим? Я думал скопировать все, что мне нужно, из
/root/в/home/unprivileged_user, но есть некоторые вещи, которые я не уверен, будут ли работать при копировании, например/root/.pyenv.
Спасибо за помощь!