Docker Security-プロセスを実行するユーザー

Question

私が働く会社のすべてのマイクロサービスで使用されるベースイメージを構築しています。

私たちはJavaコンテナを実行し、これまでのところopenjdkイメージをそのまま使用していました。

私は現在centos7からイメージを構築しようとしています。画像ごとに使用できるユーザーが存在するように、ベースのDockerfileを構築する方法についていくつかの推奨事項があるかどうかを知りたいと思います。

それぞれのアプリケーションには、独自のDockerfileがあります.Dockerfileは、ベースイメージから拡張され、独自のユーザーを持ちます。まあ

乾杯 クリス

Answer 1

あなたのアプリは、その後、「ルート」を必要とする新しいユーザーを作成し、次のようにUSERコマンドをユーザに切り替わらない場合：

RUN groupadd -r myapp && useradd -r -g myapp myapp 
USER myapp 

また、あなたがdropping unused capabilitiesを検討するかもしれません