我正在构建一个运行 Ruby 应用程序的 Docker 镜像,它基本上是一个运行彪马,并利用图像中存在的几个二进制文件、python 代码和其他内容。
问题是二进制文件来自根据图像(它是一个多阶段构建但是是分开的,如果有意义的话),并且该图像是在没有指定任何用户的情况下构建的(即root使用了用户)。
图像将在游牧民族集群(类似于 k8s)。所以这里的问题是:
- 只让
root此图像中的用户与root用户一起运行真的有风险吗?除了显而易见的问题之外,有人能指出安全问题吗? - 如果这样做风险很大,最好的解决方案是什么?我考虑过将我需要的所有内容从复制
/root/到/home/unprivileged_user,但有些东西我不确定复制后是否会起作用,例如/root/.pyenv。
谢谢您的帮助!