Rootless Docker
背景
自宅サーバでのちょっとしたサービスの公開を root 権限のある docker でやるとセキュリティリスクが多い?
例えばコンテナ内のサーバアプリケーションに任意コードを実行できる脆弱性があった場合など
対策
サービス実行用のユーザを用意する
そのユーザはそのサービスの bind するファイルにのみ権限を持つ
そのユーザは他のファイル等にアクセスできないようにできるかな
それは厳しそう
代わりに systemd の docker の init process の権限を締めるといいと言われた