konfigurative Vermeidung der Erfordernis spezifischer UIDs im Umfeld des Schadcodescanners
Um den Bundesmessanger mit den Standard SecurityContextConstraints auf einem Openshift-Cluster zum Laufen zu bekommen, sind derzeit kleinere Klimmzüge im Umfeld des Schadcodescanners erforderlich.
Zwar sind die UIDs via securityContext-Spezifikation bereits konfigurativ anpassbar, allerdings
- sind die User an einigen anderen Stellen noch hart vercoded
- konkret ist die konfigurative Verankerung des
cicap
users gemeint. Dieser ist derzeit konfigurativ nicht abschaltbar, was einen patch erfordert. - in dem Zuge ist mir auch die feste
User clamav
Zuordnung aufgefallen. Aber diese scheint die Funktionalität nicht zu beeinträchtigen, wenn clamav mit einer random UID betrieben wird.
- konkret ist die konfigurative Verankerung des
- wird an einigen Stellen versucht die Zugriffsrechte auf gemountete Verzeichnisse mit Root-Rechten umzubiegen.
Die Notwendigkeit für letzeres lässt sich aus meiner Sicht konfigurativ vermeiden, indem *.securityContext.fsGroup == *.securityContext.runAsUser
gesetzt wird. Dann sollten nämlich die gemounteten Files automatisch dem entsprechenden User gehören.
Damit sollten die folgenden Bestandteile überflüssig werden:
- der initContainer am Schadcodescanner macht nichts weiter als ein chown über die gemountete Database. Dieser ist derzeit konfigurativ nicht abschaltbar, was einen patch erfordert.
- innerhalb des matrix-content-scanner images ist ein chown im entrypoint.sh Skript verankert. Dieser ist derzeit konfigurativ nicht abschaltbar, was einen patch erfordert.
Es wäre wünschenswert die oben genannten Patches durch Konfigurationespunkte in der values.yaml ersetzen zu können.