标签:容器 nonroot securityContext 用户 k8s root Spec
描述
- 通过禁止以 root 用户启动容器,可以限制容器内进程的可用权限,降低被容器中恶意进程通过 root 权限入侵/破坏用户应用、主机甚至整个集群的风险。
- 如果确认当前工作负载确实需要以 root 用户启用容器的话,可以忽略此检查项。
加固建议
- 修改 Dockerfile 创建一个非 root 用户并通过 User 指令使用这个用户,同时修改工作负载的 Pod Spec 中的 securityContext 定义,增加 runAsNonRoot: true 配置
示例
# Dockerfile
RUN addgroup -S nonroot && adduser -u 65530 -S nonroot -G nonroot
USER 65530
# Pod Spec (container configuration)
securityContext:
runAsNonRoot: true
标签:容器,
nonroot,
securityContext,
用户,
k8s,
root,
Spec
From: https://blog.51cto.com/yht1990/5870668