是否有办法在不破坏所有内容的情况下删除覆盖中的其他权限?由于 /var 文件夹中的其他权限,我们被安全审核标记。
例子:
/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/629/fs/usr/local/etc/npmrc 5370077 4 -rw-rw-rw 1 root root 31 Jul 2020
有什么想法吗?
答案1
了解为什么这些权限被检测为“不安全”会很有帮助。这种分类有理由吗?
假设:权限被认为是不安全的,因为“每个人”(除了所有者和组,这里是 root:root)都具有读取和写入权限。
附加信息: https://jfrog.com/community/devops/linux-permissions-dos-and-donts/
答案2
看来这与部署的镜像内容有关,我们在 grafana 上也遇到了同样的“问题”。
检查它的 docker 文件我们发现(https://github.com/grafana/grafana/blob/main/Dockerfile):
文件:
/var/lib/containerd/io.containerd.snapshotter.v1.overlayfs/snapshots/115/fs/etc/grafana/provisioning 28830982 0 drwxrwxrwx 2 472 root 9 Aug 2 04:50
docker 文件中的行:
chmod -R 777 "$GF_PATHS_DATA" "$GF_PATHS_HOME/.aws" "$GF_PATHS_LOGS" "$GF_PATHS_PLUGINS" "$GF_PATHS_PROVISIONING"
所以基本上是创建图像的方式,与运行时无关。我们在快照中看到的只是该图像的图层。