Neuer Benutzer „app“ ohne root-Rechte in Linux-Images
Die .NET Linux-Containerimages enthalten einen neuen Benutzer namens app ohne root-Rechte. Sie können sich für diesen neuen Benutzer entscheiden, um Sicherheitsvorteile zu bieten. Der Name dieses Benutzers kann mit einem vorhandenen Benutzer in Konflikt stehen, der in der Dockerfile-Datei einer Anwendung definiert ist.
Vorheriges Verhalten
Vor .NET 8 enthielten die Linux-Containerimages keine zusätzlichen Benutzer über das hinaus, was standardmäßig im Linux-Basiscontainerimage enthalten war (z. B. Debian, Alpine und Ubuntu).
Neues Verhalten
Ab .NET 8 definieren Linux-Containerimages einen Benutzer namens „app“, der für zusätzliche Sicherheitsvorteile aktiviert werden kann. Der Name dieses Benutzers kann jedoch mit einem vorhandenen Benutzer in Konflikt stehen, der in der Dockerfile-Datei einer Anwendung definiert wurde. Wenn die Dockerfile-Datei der Anwendung versucht, einen Benutzer mit demselben Namen zu erstellen, kann ein Fehler auftreten, der besagt, dass der Benutzer bereits vorhanden ist.
Eingeführt in Version
.NET 8 Preview 1
Art der Änderung
Diese Änderung ist eine Verhaltensänderung.
Grund für die Änderung
Der neue Benutzer wurde eingeführt, um die Benutzerfreundlichkeit bei der Sicherung von Containern zu verbessern.
Empfohlene Maßnahme
Wenn die Dockerfile-Datei Ihrer Anwendung versucht, einen neuen Benutzer mit demselben Namen wie der vorhandene Benutzer app zu erstellen, gibt es zwei Möglichkeiten:
- Aktualisieren Sie die Dockerfile-Datei, um den Namen des Benutzers zu ändern, sodass keine Konflikte mehr auftreten.
- Entfernen Sie die Logik für die Benutzererstellung, und stellen Sie stattdessen auf die Verwendung des integrierten Benutzers
appum.
Betroffene APIs
Keine.
