bitwarden/server

Container should not run as root

Open

#2903 aperta il 3 mag 2023

Vedi su GitHub
 (6 commenti) (7 reazioni) (0 assegnatari)C# (1575 fork)batch import
bugbw-lite-deployhelp wanted

Metriche repository

Star
 (18.588 star)
Metriche merge PR
 (Merge medio 11g 10h) (147 PR mergiate in 30 g)

Descrizione

Steps To Reproduce

  1. Install per the instructions as written at https://bitwarden.com/help/install-and-deploy-unified-beta/ that has a restrictive policy like SELinux

Expected Result

The container should run as a non-root user

Actual Result

The container cannot run in a restrictive environment where root users are not permitted or are highly restricted like in SELinux environments or Kubernetes platforms that enforce a restrictive policy like VMware Tanzu or OpenShift.

Screenshots or Videos

No response

Additional Context

I have attempted to set the running user via policy, but the image is trying to change permissions on startup and is not allowed to.

Githash Version

NA - container does not run

Environment Details

  • Operating System: Photon Linux
  • Platform: Kubernetes (Tanzu)
  • Kubernetes API: 1.21

Database Image

sqlite

Issue-Link

https://github.com/bitwarden/server/issues/2480

Issue Tracking Info

  • I understand that work is tracked outside of Github. A PR will be linked to this issue should one be opened to address it, but Bitwarden doesn't use fields like "assigned", "milestone", or "project" to track progress.

Guida contributor

Direzione di ricerca
Indaga il Dockerfile nel repository (ad es., Dockerfile o file docker compose) per determinare come è configurato l'utente del contenitore. Il problema richiede di aggiungere una direttiva per un utente non root (USER) e di assicurarsi che tutte le autorizzazioni necessarie per i file siano adeguate per i volumi e gli script di avvio. Rivedi il problema collegato #2480 per la discussione precedente. Testa le modifiche in un ambiente SELinux o Kubernetes per confermare la conformità. Considera l'uso di uno strumento come 'docker run user' o la modifica dell'entrypoint dell'immagine.
Tech stack
csharpdocker
Dominio
securitydevopscloud
Tipo issue
Sicurezza
DifficoltàQuanto dovrebbe essere impegnativa per un nuovo contributor.
3
Tempo stimatoTempo stimato per completare e verificare uno scope piccolo.
Mezza giornata
Stato attivitàQuanto è probabile che la issue sia ancora attiva e reviewable.
Attiva
ChiarezzaQuanto chiaramente la issue descrive problema, scope e risultato atteso.
Abbastanza chiara
Prerequisiti
Dockerfile basicsLinux user permissions
Adatta ai principiantiQuanto la issue è adatta a contributor alla prima esperienza.
60