使用默认的
DockerPlugin
,创建的图像的WORKDIR
为/opt/docker
,其下的所有文件都归demiourgos728
所有。用户不是系统用户,因为这是“最佳实践”。但用户应该有能力修改应用程序文件吗?
我认为,如果应用程序存在漏洞,允许用户
chmod +w
并修改应用程序文件,恶意软件可能会以某种方式利用它来获得进一步的权限。我心里没有什么特定的策略,只是随口吐痰。
据我所知,用户无法更改任何文件。这件事已经被多次报道过,也应该如此。通常人们想要写入日志文件。但是,对于此用例,您应该安装外部卷或登录到外部系统。
希望有帮助 穆希