bitwarden/server

Container should not run as root

Open

#2 903 ouverte le 3 mai 2023

Voir sur GitHub
 (6 commentaires) (7 réactions) (0 assignés)C# (1 575 forks)batch import
bugbw-lite-deployhelp wanted

Métriques du dépôt

Stars
 (18 588 stars)
Métriques de merge PR
 (Merge moyen 11j 10h) (147 PRs mergées en 30 j)

Description

Steps To Reproduce

  1. Install per the instructions as written at https://bitwarden.com/help/install-and-deploy-unified-beta/ that has a restrictive policy like SELinux

Expected Result

The container should run as a non-root user

Actual Result

The container cannot run in a restrictive environment where root users are not permitted or are highly restricted like in SELinux environments or Kubernetes platforms that enforce a restrictive policy like VMware Tanzu or OpenShift.

Screenshots or Videos

No response

Additional Context

I have attempted to set the running user via policy, but the image is trying to change permissions on startup and is not allowed to.

Githash Version

NA - container does not run

Environment Details

  • Operating System: Photon Linux
  • Platform: Kubernetes (Tanzu)
  • Kubernetes API: 1.21

Database Image

sqlite

Issue-Link

https://github.com/bitwarden/server/issues/2480

Issue Tracking Info

  • I understand that work is tracked outside of Github. A PR will be linked to this issue should one be opened to address it, but Bitwarden doesn't use fields like "assigned", "milestone", or "project" to track progress.

Guide contributeur

Direction de recherche
Examinez le Dockerfile dans le dépôt (par exemple, Dockerfile ou fichiers docker compose) pour déterminer comment l'utilisateur du conteneur est configuré. Le problème nécessite d'ajouter une directive d'utilisateur non root (USER) et de s'assurer que toutes les permissions de fichiers nécessaires sont ajustées pour les volumes et les scripts de démarrage. Consultez le problème lié #2480 pour la discussion précédente. Testez les modifications dans un environnement SELinux ou Kubernetes pour confirmer la conformité. Envisagez d'utiliser un outil comme 'docker run user' ou de modifier le point d'entrée de l'image.
Stack technique
csharpdocker
Domaine
securitydevopscloud
Type d'issue
Sécurité
DifficultéDifficulté estimée pour un nouveau contributeur, de 1 pour un très petit changement à 5 pour un travail expert.
3
Temps estiméFourchette de temps approximative pour investiguer, implémenter, tester et préparer une pull request.
Une demi journée
Statut d'activitéDisponibilité apparente de l'issue : fraîche, active, ancienne, bloquée ou en attente d'un mainteneur.
Active
ClartéClarté avec laquelle l'issue explique le changement attendu, les critères d'acceptation et la prochaine étape.
Plutôt claire
Prérequis
Dockerfile basicsLinux user permissions
Accessibilité débutantScore de 1 à 100 estimant l'accessibilité de cette issue pour un premier contributeur.
60