Après plusieurs recherches, j'ai finalement opté pour l'approche distroless, développée chez Google.
L'idée est de faire un dockerfile multi stage, pour ne garder que le serveur ssh et ses dépendances.
De cette façon, le conteneur final ne possède ni shell, ni binaire superflu. La surface d'attaque est donc très réduite, voire nulle. À mes yeux, ce modèle est plus viable que simplement réduire la taille de sa distribution.
[^] # Re: diminuer la surface d'attaque
Posté par Pierrick Bouvier . En réponse au journal Tunneling SSH conteneurisé. Évalué à 1.
Après plusieurs recherches, j'ai finalement opté pour l'approche distroless, développée chez Google.
L'idée est de faire un dockerfile multi stage, pour ne garder que le serveur ssh et ses dépendances.
De cette façon, le conteneur final ne possède ni shell, ni binaire superflu. La surface d'attaque est donc très réduite, voire nulle. À mes yeux, ce modèle est plus viable que simplement réduire la taille de sa distribution.
https://github.com/GoogleContainerTools/distroless
Une vidéo présentant l'idée: https://www.youtube.com/watch?v=lviLZFciDv4
Et le résulat:
https://github.com/second-reality/reverse-tunnel/commit/3680dc34d69727bad88b3be154a9b3d7862ee8c6