Pour prendre un exemple, les images utilisant root ou spécifiant un utilisateur. C'est pas un sujet si simple, car certaines images (par exemples des images de bases) doivent plutôt rester sur root. Par contre un service qui tourne, probablement pas. Mais au final il n'y a pas un consensus absolu sur la question.
Il n'y a pas d'absolu, mais les images de service qui ne tournent pas en root, c'est plutôt l'exception. Si on prend l'image d'exemple que je vois passé le plus souvent, c'est nginx, qui tourne en root et donc ne peut pas tourner dans un contexte de prod qui interdit ça. Et on a du coup vite l'association, les images officielle docker, ce n'est pas pour la prod.
Pour nginx, il y a plusieurs config qui ne serait pas possible sans être root, mais c'est plutôt un cas particulier qui devrait être traité comme tel et pas dans la configuration par défaut.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche
[^] # Re: Titre
Posté par claudex . En réponse au journal Comment sécurisez-vous les images docker externes ?. Évalué à 4.
Il n'y a pas d'absolu, mais les images de service qui ne tournent pas en root, c'est plutôt l'exception. Si on prend l'image d'exemple que je vois passé le plus souvent, c'est nginx, qui tourne en root et donc ne peut pas tourner dans un contexte de prod qui interdit ça. Et on a du coup vite l'association, les images officielle docker, ce n'est pas pour la prod.
Pour nginx, il y a plusieurs config qui ne serait pas possible sans être root, mais c'est plutôt un cas particulier qui devrait être traité comme tel et pas dans la configuration par défaut.
« Rappelez-vous toujours que si la Gestapo avait les moyens de vous faire parler, les politiciens ont, eux, les moyens de vous faire taire. » Coluche