всем привет подскажите пожалуйста как правильно отключить привилегии root у контейнера во время его запуска через docker run?

потому, что надо перед тем как перезапускать, сначала перебилдить образы ..

Если вы имеете в виду не только приложение но и демон докера с шимами - то ищите в документации rootless mode. Если вы имеете в виду только приложение в контейнере - то тут есть несколько вариантов, некоторые из которые друг друга могут дополнять. Флаг —user для докер ран. Setuid сисколл в коде самой приложеньке. User директива в докерфайле. Ремап юзер неймспейсов. Ну и есть ещё -drop-cap для дропа permitted capabilities и seccomp profile, если нужно ограничивать именно рута. Сами выбирайте.

спасибо посмотрю это все в доке

!report

А они и не нужны

@vizdrag тут у @vb_201 приступ, проверьте удалённые

я уже увидел что вопрос был поставлен не корректно, речь шла о доступе из контейнера к внешнему сервису

А что, заблочить пользователя в группе теперь нельзя, только исключить?

Можно, конечно же

Тогда что происходит

Сам выходит и заходит

Подскажите, плиз, где почитать про разницу в тегах?

https://hub.docker.com/_/python
Раздел Image variants

Действительно, до туда не долистал )
Спасибо

Кстати, ещё вопрос

Если мы в докерфайле ставим пакеты, и будет, скажем, проблема с сетью при билде, то возможны ли разные имеджы на выходе?

нет, у тебя просто не соберется образ

Понял, спасибо

Кто то с certbot имеет опыт обновления сертификатов безопасности? Три месяца назад в контейнере запустил certbot, получил сертификат, установил в кроне задачу ежедневного обновления, и все работало. Прошло три месяца, сайт лег, сертификат закончился и не обновился. В логе я ничего критического не вижу. При поптыке обновления сертификата вручную  выдает: