Estoy creando un servidor que construirá imágenes directamente desde Dockerfile:
docker build -t arbitrarydocker .
Este archivo docker se construirá en el mismo servidor que los otros Dockerfiles del cliente, que pueden tener secretos. ¿Cómo puedo bloquear el proceso que hace docker build -t arbitrarydocker .
para que no haga cosas como:
ADD /contents/of/host/secrets ./space/in/hacker/docker/container
La mejor manera que puedo pensar es dividir el proceso y ejecutarlo con un usuario inventado que tiene acceso de directorio limitado a una sola carpeta donde sus propios secretos se guardan con capacidades limitadas. También me pregunto si hay una manera de borrar totalmente la memoria después de crear el dockerfile para que los datos no se filtren a la siguiente compilación del cliente.
Si la única forma de hacerlo de manera segura es tener un servidor de compilación dedicado por cliente, entonces puedo hacerlo, pero me gustaría evitarlo.
Todas las compilaciones se realizan en Centos.