Проблема безопасности Docker вокруг ENTRYPOINT

Question

Я экспериментирую с Docker и понимаю концепции вокруг использования томов. У меня есть приложение tomcat, которое записывает файлы в определенный том.

Я пишу Dockerfile с ENTRYPOINT из «dosomething.sh»

Этот вопрос я с EntryPoint сценарий ..

В «dosomething.sh», я мог бы иметь потенциально вредоносный код, чтобы удалить все файлы громкость !!!

Есть ли способ защититься от него, тем более, что я планировал поделиться этим файлом докеров и скриптом с моей командой разработчиков, и забота, которую я должен взять для создания роли, выглядит пугающей!

Одна мысль не должна иметь «ENTRYPOINT» вообще для всех контейнеров с томами.
Опытные люди, пожалуйста, сообщите о том, как вы справляетесь с этим ...

Answer 1

Если вы используете data volume container, чтобы изолировать объем, такой контейнер не работать: они создаются только (docker create).

Это означает, что вам необходимо установить этот контейнер объема данных в другие контейнеры, чтобы они могли получить доступ к этому тому.
Это немного уменьшает опасную точку входа: простой прогон докеры будет иметь доступ к низу, так как не было установлено значение для установки тома -v.

Другой подход заключается в по крайней мере, сценарий объявлен CMD, не ENTRYPOINT (и для ENTRYPOINT как [ "/bin/sh", "-c" ]. Таким образом, это легче Docker работать с альтернативной команды (передается в качестве параметра, перекрывая CMD), вместо иметь всегда выполнить сценарий только потому, что это ENTRYPOINT.