تقرير أمني حول تحديث Dockerfile لتشغيل الحاوية بدون صلاحيات الجذر #2573
Description
نظرة عامة
تأتي هذه التذكرة بعد مراجعة التغييرات في PR #860 الذي قام بتحديث ملف Dockerfile بما يحقق متطلبات معايير CIS_Docker_v1.2.0 - 4.1. التغيير يركز على تشغيل الحاوية عن طريق مستخدم غير الجذر (non-root user)، مما يعزز الأمان ويقلل المخاطر المحتملة.
ملخص التعديلات الأمنية
- إنشاء مستخدم ومجموعة جديدين داخل الحاوية:
تم إضافة أوامر لإنشاء مستخدمyqومجموعة بنفس الاسم. - منح الأذونات المناسبة لمجلد المنزل:
تفعيل صلاحية المستخدم الجديد على مجلد/home/yq/لتجنب تسرب الأذونات من الجذر. - جعل المستخدم الافتراضي هو الم��تخدم غير الجذر:
تم تفعيل أمرUSER yqفي نهاية ملف Dockerfile.
تقييم الأثر الأمني
- التنفيذ يقلل المخاطر الناتجة عن استغلال الثغرات عبر منع الوصول الجذري للحاوية.
- زيادة المقاومة ضد أي اختراق ممكن لصلاحيات النظام (Privilege Escalation).
- يوصى دائمًا بفحص الحاويات الناتجة بأدوات مثل Trivy أو Bench Security Checker لضمان خلوها من الثغرات ضمن الحزم المثبتة.
توصيات إضافية
- التأكد من تحديد أقل الصلاحيات المطلوبة للمجلدات (Principle of Least Privilege).
- التأكد من أن جميع البيانات الحساسة أو أسرار البيئة غير مخزنة ضمن الحاوية.
- تفعيل مسح أمني دوري للصور.