bitwarden/server

Container should not run as root

Open

#2.903 aberto em 3 de mai. de 2023

Ver no GitHub
 (6 comments) (7 reactions) (0 assignees)C# (1.575 forks)batch import
bugbw-lite-deployhelp wanted

Métricas do repositório

Stars
 (18.588 stars)
Métricas de merge de PR
 (Mesclagem média 11d 10h) (147 fundiu PRs em 30d)

Description

Steps To Reproduce

  1. Install per the instructions as written at https://bitwarden.com/help/install-and-deploy-unified-beta/ that has a restrictive policy like SELinux

Expected Result

The container should run as a non-root user

Actual Result

The container cannot run in a restrictive environment where root users are not permitted or are highly restricted like in SELinux environments or Kubernetes platforms that enforce a restrictive policy like VMware Tanzu or OpenShift.

Screenshots or Videos

No response

Additional Context

I have attempted to set the running user via policy, but the image is trying to change permissions on startup and is not allowed to.

Githash Version

NA - container does not run

Environment Details

  • Operating System: Photon Linux
  • Platform: Kubernetes (Tanzu)
  • Kubernetes API: 1.21

Database Image

sqlite

Issue-Link

https://github.com/bitwarden/server/issues/2480

Issue Tracking Info

  • I understand that work is tracked outside of Github. A PR will be linked to this issue should one be opened to address it, but Bitwarden doesn't use fields like "assigned", "milestone", or "project" to track progress.

Guia do colaborador

Direção de pesquisa
Investigue o Dockerfile no repositório (por exemplo, Dockerfile ou arquivos docker compose) para determinar como o usuário do contêiner está configurado. A issue requer a adição de uma diretiva de usuário não root (USER) e a garantia de que todas as permissões de arquivo necessárias sejam ajustadas para volumes e scripts de inicialização. Revise a issue vinculada #2480 para discussão anterior. Teste as alterações em um ambiente SELinux ou Kubernetes para confirmar a conformidade. Considere usar uma ferramenta como 'docker run user' ou modificar o ponto de entrada da imagem.
Pilha de tecnologia
csharpdocker
Domain
securitydevopscloud
Tipo Issue
Segurança
DifficultyDificuldade de implementação estimada para um novo contribuidor, de 1 para alterações muito pequenas a 5 para trabalho de nível especializado.
3
Tempo estimadoUm intervalo de tempo aproximado para um colaborador experiente investigar, implementar, testar e preparar um pull request.
Meio dia
Status da atividadeQuão disponível o issue aparece agora: novo, ativo, obsoleto, bloqueado ou aguardando entrada do mantenedor.
Ativo
ClarityCom que clareza o issue explica a mudança esperada, os critérios de aceitação e a próxima etapa.
Principalmente claro
Prerequisites
Dockerfile basicsLinux user permissions
Simpatia para novatosUma pontuação de 1 a 100 que estima o quão acessível este issue é para colaboradores iniciantes.
60