## Problem Im Dockerfile wird dem `bedrock` User passwortloses sudo eingeräumt: ```dockerfile echo "$USERNAME" ALL=\(root\) NOPASSWD:ALL > /etc/sudoers.d/"$USERNAME" ``` Das macht die gesamte Non-Root-Isolation wirkungslos — jeder Prozess im Container kann `sudo` nutzen um Root-Rechte zu erlangen. ## Analyse Der Entrypoint verwendet `entrypoint-demoter`, der die Berechtigungen basierend auf dem Home-Verzeichnis setzt. `sudo` wird im normalen Betrieb nicht benötigt: - JAR-Download: läuft als bedrock User, `/docker/brc` gehört bedrock - Java-Prozess: braucht keine Root-Rechte - mc-monitor Healthcheck: braucht keine Root-Rechte ## Fix 1. `sudo` Paket nicht installieren 2. Sudoers-Konfiguration entfernen 3. Testen ob Container ohne sudo korrekt startet und läuft