Änderung der UID>2000 Policy auf UID>1000
Das Verbieten von UIDs über 1000 führt in bisher durchgeführten Tests oft zu Problemen, da IDs manchmal fest im Image "verbaut" sind. Als unprivilegierte ID wird hier oftmals die 1000 genommen, (edit siehe Kommentar von Klaus) in CoreOS (OpenShift) und möglicherweise auch in anderen Distros ist die UID 1000 jedoch für einen privilegierten User reserviert, weshalb diese ebenfalls ausgeschlossen werden sollte.
Da wir mittlerweile eine funktionierende Unique-UID-Policy haben, ist der Mehrwert, UIDs außer den ersten 1000 zu beschränken wahrscheinlich marginal.
*Gewisse Restrisiken könnte man vielleicht mit Seccomp-Profilen und SELinux-Labels für Container einschränken?
Ressourcen
Edited by Rainer Molitor