То есть права/id должны быть такие, чтобы он у него был

Так что сам смотри что там надо

если честно не очень понимаю .

но в любом случае спасибо большое ))

гугл линуксовые права

я просто не понимаю где их нужно давать в контейнере или снаружи ?

Ну ты жа каталоги снаружи подкидываешь

В контейнере у них те же права и те же uid/gid владельцев как и на хосте

То есть если uid снаружи и в контейнере разные и права  типа 754 - то пользователь в контейнере не будет иметь к ним доступ

Он сможет читать, но не выполнять, он не владелец файлов и не в группе какой-то

есть такой момент например что например uid/gid www-data в debian и apline различаются

Сорян, но мне сюда ещё рано

Как выйти

:wq!

)))))

:q! думаю больше подойдет)

Привет, есть задача: запускать потенциально небезопасные скрипты. Процесс как на сайте repl.it – пользователь сабмитит скрипт, и с минимальной задержкой получает результат. Можно ли реализовать сандбоксинг через докер (пока не понимаю как обойти необходимость билдить образ на каждую смену кода), либо надо смотреть в другую сторону?

Сейчас подумал, можно ли запускать на каждого юзера контейнер с приложением которое будет получать извне запросом код и запускать его в себе. Что на счет такого варианта?

Пользователь рано или поздно найдет дырку и вылезет за пределы контейнера особенно если докер запущен от рута https://threatpost.ru/docker-bug-allows-to-read-files-outside-of-container/32863/

Это все таки баг в софте, понятно, что от него не застрахован. Но если опустить этот момент? Я просто не понимаю как сайты, запускающие код, справляются с этим

С багом или с нагрузкой?