Nouvel utilisateur non-racine « application » dans les images Linux

Les images conteneur Linux .NET comprennent un nouvel utilisateur non-racine nommé app. Vous pouvez choisir d’utiliser ce nouvel utilisateur pour bénéficier d’avantages en matière de sécurité. Le nom de cet utilisateur peut entrer en conflit avec un utilisateur existant défini par le fichier Dockerfile d’une application.

Comportement précédent

Avant .NET 8, les images conteneur Linux n’incluaient pas d’utilisateurs supplémentaires au-delà de ce qui était inclus par défaut dans l’image conteneur Linux de base (par exemple, Debian, Alpine et Ubuntu).

Nouveau comportement

À partir du .NET 8, les images conteneur Linux définissent un utilisateur nommé app qui peut être choisi pour bénéficier d’avantages supplémentaires en matière de sécurité. Toutefois, le nom de cet utilisateur peut entrer en conflit avec un utilisateur existant qui a été défini par le fichier Dockerfile de l’application. Si le fichier Dockerfile de l’application tente de créer un utilisateur portant le même nom, une erreur peut se produire indiquant que l’utilisateur existe déjà.

Version introduite

.NET 8 Préversion 1

Type de changement

Ce changement est un changement de comportement.

Raison du changement

Le nouvel utilisateur a été introduit pour améliorer la facilité d’utilisation de la sécurisation des conteneurs.

Action recommandée

Si le fichier Dockerfile de votre application tente de créer un nouvel utilisateur portant le même nom que l’utilisateur existant app, deux options s’offrent à vous :

• Mettez à jour le fichier Dockerfile pour modifier le nom de l’utilisateur afin qu’il ne soit plus en conflit.
• Supprimez la logique de création d’utilisateur et migrez pour app utiliser l’utilisateur intégré à la place.

API affectées

Aucun.

Voir aussi

• Billet de blog : Conteneurs Linux sans racine