тебе примеры показать как надо писать докер файлы? как пишет комьюнити

?

Что ты собираешься через системд правильно ранить? Эти проблемы нельзя закрыть никакими флагами докер-демона

ты видимо не до конца разобрался

Ну давай, расскажи, как проблема "доступ к докер-сокету = root" решается правильным написанием докерфайлов.

Просвети

а ты не путаешь пробелму запуска приложени от определенного пользователя и то что ты говоришь не?

или ты реально считаешь что если ты не добавил пользователя в самописный докер файл то это дыра докера?

Перечитай начало разговора. Он пошёл с того, что через докер-сокет можно получить рута на хосте.

Парни доцкер говно го юзать пхп

перечитай то за что ты в моем сообщении зацепился, ты смешал коней и людей

повторюсь это не вина докера что лень пользователя создать в контейнере

не ранить в привелегиях, ранать от определенного uid:gid

Дыра докера - хреновые дефолты, выбранные без оглядки на безопасность.
Десятки лет учили людей не запускать сервисы от рута и, вроде, до всех дошло, но пришёл докер, и почти все сейчас опять крутят в нем сервисы под рутом (и даже без userns).
И даже если ты для своих сервисов пишешь докерфайлы правильно, то сторонние образы с высокой вероятностью на это клали болт и под дефолтным юзером. И вина в том, что этот юзер - рут вполне себе на докере.

Вот полную ерунду  говоришь, все уважающие себя "приложения" создают пользователя

Где я тут что смешал?

Да, docker без тщательной фильтрации параметров (через auth plugin, например) - это эквивалент sudo в рута.
Можно даже alias себе прописать :)
alias su="docker run -it --rm --privileged --uts=host --pid=host --net=host --userns=host -v /:/tmp/root busybox chroot /tmp/root sh -l"

но докер то тут не при чем по факту, это как ранить все сервисы от рута в надежде на их надежность

погоди ты вот поставил короче машину на паркову, открыл окна, двери, ключи положил на сиденье и у тебя тачку угнали, и ты такой бля но она же на парковке