🤔 В Docker-контейнере локальной учётной записи выполнили команду docker run alpine ID: какой ID будет выведен?

Если просто указать ID, как команду в alpine, это будет попытка выполнить такую команду в контейнере. Так как ID не является встроенной в Alpine командой, скорее всего будет выведено сообщение об ошибке — команда не найдена.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Что используется внутри докер контейнера?

Внутри Docker-контейнера используется изолированная среда, которая позволяет запускать приложения в предсказуемом и воспроизводимом окружении. Контейнер предоставляет доступ к базовой файловой системе, процессам, сетевым интерфейсам и другим ресурсам, изолированным от хоста и других контейнеров. Давайте разберем основные компоненты, которые используются внутри Docker-контейнера.

🟠Файловая система
Каждый контейнер имеет собственную файловую систему, основанную на многослойной архитектуре. Это изолированное пространство предоставляет доступ к: Образу Docker (image): Базовый набор файлов, определенных в Docker Image. Copy-on-write (COW): Контейнеры используют copy-on-write слой для изменений. Базовый образ остается неизменным, а любые изменения записываются в слой контейнера. Точки монтирования: Возможность монтировать директории хоста или сетевые тома (volumes) для сохранения данных.

docker run -v /host/path:/container/path nginx

🟠Процессы
В контейнере запускаются процессы, как в обычной операционной системе. Главный процесс контейнера (например, команда из CMD или ENTRYPOINT) работает с PID 1 и отвечает за выполнение приложения. Процессы внутри контейнера изолированы от процессов на хосте благодаря использованию Linux namespaces.

docker exec <container_id> ps aux

🟠Сетевые интерфейсы
Docker-контейнеры используют виртуальные сетевые интерфейсы для связи:
veth-pair: Каждый контейнер имеет виртуальный интерфейс, подключенный к мосту (docker0 по умолчанию).
Типы сетей:
bridge (по умолчанию): Локальная сеть между контейнерами.
host: Контейнер использует сетевой стек хоста.
none: Полностью изолированный контейнер без сети.
overlay: Сеть для соединения контейнеров на разных хостах.

docker network create my_network
docker run --network my_network nginx

🟠Ресурсы хоста (CPU, память, диски)
Контейнеры используют ресурсы хоста, но их потребление можно ограничить:
CPU: Контейнер может использовать определенную долю процессора.

docker run --cpus="2" nginx

Память: Лимит на использование оперативной памяти.

docker run -m 512m nginx

I/O (диск): Возможность ограничения операций чтения/записи.

docker run --device-read-bps=/dev/sda:1mb nginx

🟠Изоляция (Namespaces и Control Groups)
Docker использует технологии изоляции, встроенные в ядро Linux:
Namespaces: Обеспечивают изоляцию пространства имен (PID, сети, файловой системы и т.д.). Control Groups (cgroups): Управляют использованием ресурсов (CPU, RAM, I/O).

lsns

🟠Среда выполнения (Runtime)
Docker-контейнеры работают благодаря среде выполнения, например:
runc: Легковесное средство выполнения контейнеров, совместимое со стандартом OCI. containerd: Менеджер для запуска контейнеров, который Docker использует для взаимодействия с низкоуровневыми компонентами.

🟠Настройки и переменные среды
Контейнер может быть настроен с использованием:
Переменных среды: Устанавливаются через ENV в Dockerfile или с помощью флага -e.

docker run -e ENV_VAR=value nginx

Аргументов при сборке: Используются в Dockerfile через ARG.

ARG BUILD_VERSION

🟠Приложение или служба
Главное, что работает внутри контейнера, — это само приложение: Например, веб-сервер (Nginx, Apache) или база данных (MySQL, PostgreSQL). Контейнеры упрощают запуск приложений с предсказуемыми зависимостями.

🟠Логи и мониторинг
Docker предоставляет возможность просматривать логи контейнера и собирать метрики
Логи

docker logs <container_id>

Информация о контейнере

docker inspect <container_id>

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что вообще означает eviction или evict?

Evict означает "выселить" или "удалить". В Kubernetes это означает, что pod удаляется с текущей ноды — либо временно (будет пересоздан), либо навсегда (если не управляется контроллером). Это часть механизма автоматического самовосстановления и балансировки нагрузки.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Что такое config map в кубере?

ConfigMap в Kubernetes – это механизм хранения конфигурационных данных. Он позволяет разделять код приложения и настройки, храня конфигурацию в виде ключ-значение. ConfigMap удобен для передачи переменных окружения, файлов конфигурации, командных аргументов без изменения образа контейнера.

🚩Основные способы использования ConfigMap

🟠Переменные окружения
передача настроек через ENV.
🟠Файлы конфигурации
монтирование в контейнер как файл.
🟠Параметры командной строки
передача аргументов в command.

🚩Как создать ConfigMap?

1⃣Создание из манифеста

apiVersion: v1
kind: ConfigMap
metadata:
  name: my-config
data:
  APP_ENV: "production"
  LOG_LEVEL: "debug"
  CONFIG_FILE: |
    [settings]
    mode = "production"
    debug = true

2⃣Создание из командной строки

kubectl create configmap my-config --from-literal=APP_ENV=production --from-literal=LOG_LEVEL=debug

3⃣Создание из файла

kubectl create configmap my-config --from-file=config.ini

🚩Как использовать ConfigMap в подах?

1⃣Как переменные окружения

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: app
    image: my-app
    env:
    - name: APP_ENV
      valueFrom:
        configMapKeyRef:
          name: my-config
          key: APP_ENV

2⃣Как монтируемый файл

apiVersion: v1
kind: Pod
metadata:
  name: my-app
spec:
  containers:
  - name: app
    image: my-app
    volumeMounts:
    - name: config-volume
      mountPath: "/etc/config"
  volumes:
  - name: config-volume
    configMap:
      name: my-config

Ставь 👍 и забирай 📚 Базу знаний

🤔 Какой командой можно показать все работающие процессы на Linux?

Для этого используется команда, которая отображает все активные процессы в системе, включая информацию о PID, пользователе, состоянии и потреблении ресурсов.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Какие framework знаешь?

Фреймворки — это библиотеки, упрощающие разработку. Они бывают для веба, DevOps, тестирования, машинного обучения и т. д.

🚩Веб-разработка

🟠Backend (серверная часть)
Django (Python) — мощный фреймворк для веб-приложений.
Flask (Python) — минималистичный микрофреймворк.
FastAPI (Python) — для API, быстрый на async.
Spring Boot (Java) — корпоративные приложения.
Express.js (Node.js) — популярный фреймворк для API.
NestJS (Node.js) — модульный TypeScript-фреймворк.

🟠Frontend (клиентская часть)
React (JavaScript) — компоненты, Virtual DOM.
Vue.js (JavaScript) — лёгкий и быстрый.
Angular (TypeScript) — для сложных приложений.
Svelte — новый подход к реактивному UI.

🚩DevOps и инфраструктура

Ansible — автоматизация серверов.
Terraform — управление облаками через код.
Kubernetes (K8s) — оркестрация контейнеров.
Docker Swarm — альтернатива Kubernetes.
Prometheus — сбор метрик, мониторинг.
ELK Stack (Elasticsearch, Logstash, Kibana) — логирование.

🟠Тестирование
PyTest (Python) — удобное тестирование.
Selenium — тестирование UI в браузерах.
JUnit (Java) — тесты для Java-приложений.
Postman — API-тестирование.

🟠Машинное обучение и анализ данных
TensorFlow — глубокое обучение.
PyTorch — альтернатива TensorFlow.
Scikit-learn — классическое ML.
Pandas — обработка данных.
Matplotlib, Seaborn — визуализация данных.

🟠GameDev
Unity (C#) — 2D/3D-игры.
Unreal Engine (C++) — мощный движок.
Godot — лёгкий и бесплатный.

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что такое Agile и что такое Scrum?

- Agile — это подход к разработке, ориентированный на гибкость, постоянную обратную связь, быструю поставку ценности и итеративность.
- Scrum — это фреймворк внутри Agile, с чёткими ролями (Scrum Master, Product Owner, команда), спринтами, ретроспективами, ежедневными митингами.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Как и где посмотреть логи какого-нибудь сервиса?

Обычно хранятся в каталоге /var/log. Также многие современные дистрибутивы используют систему журналирования systemd для управления и просмотра логов.

🚩Способы просмотра

🟠Просмотр логов в /var/log
Каталог /var/log содержит логи большинства системных сервисов и приложений.

Логи системных сообщений
/var/log/syslog: Содержит общие системные логи. /var/log/messages: Содержит общие системные сообщения (не во всех дистрибутивах).

cat /var/log/syslog
less /var/log/syslog
tail -f /var/log/syslog

Логи конкретных сервисов
Apache: /var/log/apache2/ или /var/log/httpd/ Логи доступа: /var/log/apache2/access.log или /var/log/httpd/access_log Логи ошибок: /var/log/apache2/error.log или /var/log/httpd/error_log

tail -f /var/log/apache2/access.log
tail -f /var/log/apache2/error.log  

Nginx: /var/log/nginx/ Логи доступа: /var/log/nginx/access.log Логи ошибок: /var/log/nginx/error.log

tail -f /var/log/nginx/access.log
tail -f /var/log/nginx/error.log 

MySQL: /var/log/mysql/ или /var/log/mysqld.log

tail -f /var/log/mysql/error.log 

SSH: /var/log/auth.log или /var/log/secure

tail -f /var/log/auth.log 

🟠Использование `journalctl` для системных логов
journalctl — это утилита для просмотра и управления журналами systemd. Она позволяет фильтровать логи по различным критериям, таким как время, сервис и уровень логирования.

Основные команды journalctl
Просмотр всех журналов

journalctl  

Логов конкретного сервиса

journalctl -u nginx.service  

Последних логов и продолжение просмотра в реальном времени

journalctl -f
journalctl -u nginx.service -f

Логов за определённый период

journalctl --since "2024-07-25 12:00:00" --until "2024-07-25 13:00:00" 

Логов с определённым уровнем логирования

journalctl -p err
journalctl -p warning  

🚩Примеры использования

🟠Просмотр логов Apache
Логи доступа

tail -f /var/log/apache2/access.log  

Логи ошибок

tail -f /var/log/apache2/error.log 

🟠Просмотр логов Nginx
Логи доступа

tail -f /var/log/nginx/access.log

Логи ошибок

tail -f /var/log/nginx/error.log  

🟠Использование `journalctl` для просмотра логов Nginx
Все логи Nginx

journalctl -u nginx.service  

Последние логи Nginx в реальном времени

journalctl -u nginx.service -f

Ставь 👍 и забирай 📚 Базу знаний

🤔 Почему в микросервисной архитектуре принята практика "1 контейнер = 1 процесс"?

1. Простота и масштабируемость:
- Легче управлять и масштабировать один процесс в контейнере.
2. Изоляция:
- Каждый контейнер изолирован, что упрощает отладку и обновление.
3. Следование принципу "малые единицы":
- Каждый контейнер выполняет одну задачу, что соответствует философии микросервисов.
4. Упрощение мониторинга и логирования:
- Логи и метрики проще ассоциировать с конкретным процессом.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Где хранятся данные о группах которые существуют в системе?

В Linux информация о группах пользователей хранится в файле:
/etc/group — основной файл, содержащий список всех групп системы.

🚩Как посмотреть список групп?

Вывести содержимое файла /etc/group

cat /etc/group

Формат строк в файле

имя_группы:x:GID:пользователи

Пример

root:x:0:
sudo:x:27:alice,bob
developers:x:1001:john,mary

Найти группу по имени

grep '^sudo:' /etc/group

Выведет

sudo:x:27:alice,bob

Узнать, в каких группах состоит пользователь

groups alice

или

id -Gn alice

Выведет

alice sudo developers

🚩Где ещё хранятся группы?

🟠Файл `/etc/gshadow`
хранит пароли групп
Если у группы есть пароль (редкость), он хранится здесь.
Формат:

  имя_группы:пароль:GID:админы_группы

Пример:

sudo:!:27:
developers:!:1001:john

Посмотреть содержимое

sudo cat /etc/gshadow

🟠LDAP или Active Directory (если система подключена к домену)
Если используется корпоративный домен, данные о группах могут храниться в LDAP или Active Directory.

getent group

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что такое sidecar и зачем он нужен?

Sidecar — это дополнительный контейнер, запускаемый рядом с основным контейнером в одном поде. Он используется для таких задач, как сбор логов, метрик, проксирование трафика, монтирование секретов и шифрование.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Когда вы создаёте файл какие права создаются по умолчанию?

Права доступа по умолчанию зависят от базовых прав доступа и значения umask. Базовые права доступа — это значения, которые система использует для определения разрешений перед применением маски umask.

🟠Файлы: 666 (rw-rw-rw-)
Это означает, что по умолчанию все пользователи могут читать и записывать в файл.

🟠Каталоги: 777 (rwxrwxrwx)
Это означает, что по умолчанию все пользователи могут читать, записывать и выполнять (заходить) в каталог.

🚩Значение umask: 022

Это маска, которая определяет, какие права будут отключены при создании нового файла или каталога. Значение umask указывается в восьмеричной системе счисления.

🟠Создание файла
Базовые права доступа: 666
Значение umask: 022
Окончательные права доступа: 666 - 022 = 644 (rw-r--r--)

🟠Создание каталога
Базовые права доступа: 777
Значение umask: 022
Окончательные права доступа: 777 - 022 = 755 (rwxr-xr-x)

🚩Создание файла с umask 0022

1⃣Установка umask

umask 0022   

2⃣Создание файла

touch myfile   

3⃣Проверка прав доступа

ls -l myfile   

Вывод
Права доступа: 644 (rw-r--r--)

-rw-r--r-- 1 user user 0 Jul 26 12:00 myfile    

🚩Создание каталога с umask 0027

1⃣Установка umask

umask 0027   

2⃣Создание каталога

mkdir mydir   

3⃣Проверка прав доступа

ls -ld mydir   

Вывод
Права доступа: 750 (rwxr-x---)

drwxr-x--- 2 user user 4096 Jul 26 12:00 mydir     

🚩Дополнительные замечания

🟠umask в скриптах
Вы можете установить umask в скрипте для задания прав доступа по умолчанию для всех создаваемых файлов и каталогов.

#!/bin/bash
umask 027
touch file1
mkdir dir1  

🟠Проверка прав доступа в разных ситуациях
Для файлов: По умолчанию права доступа 666 минус umask.
Для каталогов: По умолчанию права доступа 777 минус umask.

Ставь 👍 и забирай 📚 Базу знаний

🤔 Что порождает init-процесс?

Init создаётся ядром ОС после загрузки, и он порождает все остальные процессы, в том числе системные службы и пользовательские сессии. Его PID всегда равен 1. В контейнерах тоже может быть свой init, чтобы обрабатывать сигналы и управлять дочерними процессами.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Как мы можем поменять последовательное выполнение таски плейбука на машинах в параллельное?

По умолчанию Ansible выполняет задачи последовательно, но можно ускорить выполнение с помощью параметра forks или асинхронных задач (async).

🚩Увеличение параллельных подключений (`forks`)

forks – это количество серверов, на которых Ansible выполняет задачи одновременно.

ansible-playbook -i inventory.ini playbook.yml --forks=10

Установить forks в ansible.cfg:

[defaults]
forks = 10

🚩Асинхронное выполнение (`async` + `poll`)

Если задача выполняется долго, ее можно запустить асинхронно и не ждать завершения.

Пример асинхронного выполнения установки пакета

- name: Установить nginx параллельно
  apt:
    name: nginx
    state: present
  async: 300
  poll: 0

async: 300 – запускает задачу и дает ей 300 секунд на выполнение
poll: 0 – не ждет завершения, сразу переходит к следующей
Проверить статус запущенных задач:

ansible all -m async_status -a "jid=1234567890" -i inventory.ini

🚩Использование `&` в Shell-командах (`shell` + `nohup`)

Пример запуска задачи в фоновом режиме

- name: Запустить долгий процесс
  shell: "nohup long_script.sh &"

Ставь 👍 и забирай 📚 Базу знаний

🤔 Одним словом, как называются все сущности в Python?

Объекты. Всё в Python — объект: функции, переменные, типы, модули.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Удалил файлы, но место не очищается, в чем дело?

Если вы удалили файлы, но место на диске не освободилось, это может происходить по нескольким причинам.

🚩Файл все еще используется процессом

Если файл удален, но он открыт каким-либо процессом, его содержимое остается в памяти или файловой системе до завершения работы этого процесса. Это называется "удаление с дескриптором".

🟠Как проверить:
Используйте команду lsof (list open files), чтобы найти процессы, удерживающие файл

lsof | grep deleted

🟠Как исправить
Перезапустите процесс или завершите его с помощью kill:

kill -9 <PID>

🚩Файл удален, но он находился в другом файловом пространстве

Например:
- Файл был удален внутри Docker-контейнера, но место занято в образе.
- Файл находился на смонтированном диске, и удаление произошло в другом контексте.

🟠Как проверить
Убедитесь, что вы работаете в правильной файловой системе:

df -h

🟠Как исправить
Убедитесь, что удаление происходит в нужной директории или файловой системе.

🚩Файл был удален из директории, но находится в другой ссылке (hard link)

Если файл имеет несколько жестких ссылок, удаление одного из них не освободит место до тех пор, пока не удалены все ссылки.

🟠Как проверить
Используйте команду find, чтобы найти оставшиеся ссылки:

find / -samefile <имя_файла>

🟠Как исправить
Удалите все ссылки на файл.

🚩Файл был удален, но находился в файловой системе с квотой

Если используется файловая система с ограничением (например, квоты пользователей или групп), возможно, квота пользователя исчерпана, и это мешает очистке.

🟠Как проверить
Проверьте квоты:

quota -u <username>

🟠Как исправить
Убедитесь, что квоты настроены правильно, или освободите больше места.

🚩Кэшированные данные или временные файлы

Иногда удаленные файлы остаются в виде кэша, временных данных или не удаляются из корзины.

🟠Как проверить
Очистите кэш или проверьте корзину. Например, для очистки временных файлов

sudo du -sh /tmp
sudo rm -rf /tmp/*

🟠Как исправить
Удалите временные файлы, очистите кэш:

sudo sync && sudo echo 3 > /proc/sys/vm/drop_caches

Ставь 👍 и забирай 📚 Базу знаний

🤔 Почему плохо делать ключом массив байтов в HashMap?

Потому что:
- Массив в Java не переопределяет equals() и hashCode(), сравнение идёт по ссылке.
- Это приведёт к тому, что два массива с одинаковыми значениями будут считаться разными ключами.
- Лучше использовать ByteBuffer.wrap(byte[]) или вручную реализовать equals/hashCode.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Какая разница между deployment и stateful set?

Это контроллеры, используемые для управления подами, но они предназначены для различных типов приложений и имеют разные функции. Разница между ними связана с тем, как они управляют жизненным циклом подов, сетевой идентичностью, постоянством данных и порядком развертывания.

🚩Что такое Deployment?

Используется для управления статическими или бесстаточными приложениями, где порядок запуска подов, их идентичность и состояние не имеют значения.

🟠Бесстаточные приложения
Примеры: веб-серверы, микросервисы, обработка очередей. Каждый под одинаков, и потеря одного из них не нарушает работу приложения.
🟠Порядок развертывания
Поды запускаются и удаляются в любом порядке. Если под удаляется, создается новый с другой идентичностью.
🟠Сетевой доступ
Поды доступны через Service, но они не сохраняют фиксированные сетевые имена.
🟠Обновления
Поддерживает обновления без простоя (rolling updates). Умеет откатываться на предыдущую версию.

apiVersion: apps/v1
kind: Deployment
metadata:
  name: nginx-deployment
spec:
  replicas: 3
  selector:
    matchLabels:
      app: nginx
  template:
    metadata:
      labels:
        app: nginx
    spec:
      containers:
      - name: nginx
        image: nginx:1.21.6

🚩Что такое StatefulSet?

Используется для управления состоянием и обеспечивает упорядоченность и идентичность подов. Это важно для приложений, где требуется сохранение данных, стабильные идентификаторы или порядок операций.

🟠Состояние приложения
Примеры: базы данных (MySQL, PostgreSQL), системы очередей (Kafka), распределенные системы (Cassandra, Elasticsearch). Каждый под имеет уникальный идентификатор и связан с определенным хранилищем данных.

🟠Порядок развертывания
Поды запускаются, обновляются и удаляются строго в определенном порядке (0, 1, 2...). Это важно для приложений, где один узел должен быть доступен перед запуском другого.

🟠Сетевой доступ
Каждый под имеет фиксированное имя (например, pod-0, pod-1), что упрощает взаимодействие между подами.

🟠Обновления
Выполняются поэтапно, с учетом порядка.

🟠Постоянство данных
Поды используют PersistentVolumeClaim (PVC) для сохранения данных. Даже если под удален, данные остаются на диске и доступны после повторного запуска.

apiVersion: apps/v1
kind: StatefulSet
metadata:
  name: mysql
spec:
  serviceName: "mysql-service"
  replicas: 3
  selector:
    matchLabels:
      app: mysql
  template:
    metadata:
      labels:
        app: mysql
    spec:
      containers:
      - name: mysql
        image: mysql:5.7
        volumeMounts:
        - name: mysql-data
          mountPath: /var/lib/mysql
  volumeClaimTemplates:
  - metadata:
      name: mysql-data
    spec:
      accessModes: ["ReadWriteOnce"]
      resources:
        requests:
          storage: 10Gi

🚩Когда использовать что?

🟠Используйте `Deployment`
Бесстаточное. Требует быстрой масштабируемости. Не зависит от порядка запуска подов.
🟠Используйте `StatefulSet`
Требует сохранения данных между перезапусками. Зависит от фиксированной идентичности подов. Требует упорядоченного запуска или удаления.

Ставь 👍 и забирай 📚 Базу знаний

🤔 Как работает NAT?

NAT (Network Address Translation):
- Преобразует внутренние IP-адреса в один внешний IP.
- Позволяет многим устройствам пользоваться Интернетом через один адрес.
- Типы:
- SNAT — исходящий трафик (от локального к Интернету).
- DNAT / Port forwarding — входящий трафик (от Интернета к устройству).
- Обеспечивает безопасность и экономию IP-адресов.

Ставь 👍 если знал ответ, 🔥 если нет
Забирай 📚 Базу знаний

🤔 Почему плохо запускать контейнер от рута?

Запуск контейнеров от имени пользователя root (рута) в Docker является обычной практикой, но это может привести к серьезным проблемам безопасности. Вот основные причины, почему это считается плохой практикой:

🟠Повышение рисков безопасности:
Эксплуатация уязвимостей: Если злоумышленник получает доступ к контейнеру, запущенному от имени root, он может легко использовать уязвимости контейнера для атаки на хост-систему.
Злоумышленники: Контейнеры могут содержать уязвимые или злонамеренные коды, которые при запуске с привилегиями root могут получить доступ к чувствительной информации или вызвать сбои.

🟠Отсутствие изоляции:
Гостевая изоляция: Контейнеры должны быть изолированы от хост-системы. Запуск контейнера от имени root нарушает эту изоляцию, так как root внутри контейнера — это также root на хосте.
Повышенные привилегии: Контейнеры, запущенные от имени root, могут иметь доступ к системным ресурсам, что увеличивает риск нарушения безопасности.

🟠Нарушение принципа наименьших привилегий:
Принцип наименьших привилегий: Этот принцип гласит, что процесс должен иметь только те привилегии, которые необходимы для выполнения его задач. Запуск контейнера от имени root нарушает этот принцип, предоставляя ему избыточные права.

🚩Примеры проблем

🟠Повышение привилегий:
Если в контейнере, запущенном от имени root, найдена уязвимость, злоумышленник может использовать ее для выполнения команд с привилегиями root на хосте, что может привести к серьезным нарушениям безопасности.

🟠Доступ к файловой системе хоста:
Контейнер, запущенный от имени root, может получить доступ к критически важным файлам хостовой системы, изменять их или удалять, что может привести к нарушению работы всей системы.

🚩Как избежать запуска контейнеров от рута

Использование непривилегированных пользователей:
В Dockerfile можно создать пользователя с ограниченными привилегиями и переключиться на него.

FROM ubuntu:20.04
RUN useradd -m myuser
USER myuser
CMD ["myapp"]     

Использование флага --user:
При запуске контейнера можно использовать флаг --user, чтобы указать непривилегированного пользователя.

docker run --user 1000:1000 myapp

Использование механизмов безопасности Docker:
Использование профилей seccomp для ограничения системных вызовов.
Использование AppArmor или SELinux для ограничения доступа контейнеров к системным ресурсам.

Ставь 👍 и забирай 📚 Базу знаний