Ты же в курсе, что, если у тебя на выходе из openssl будет base64-строка, то она будет ничем не лучше бинарника на выходе git-crypt?

вкусовщина на мой взгляд. по мне, base64 в гите лучше бинарных данных. хотя гиту, может, и пофиг

секрет: для гита всё - бинарники.

но вы заверните base64 в JSON

Не совсем. Но с точки зрения хранения разницы нет, да.

В плане хранения одна херня, бинарники плохи для гита не потому, что там не вразумительный текст, а из-за того, как ты с ним в репе работаешь и как их меняешь. И тут представление у секретов (что бинарь, что base64) на подход к работе с секретами не повлияет.
В остальных аспектах base64 даже хуже, т.к. упаковынный весит больше бинаря с высокой энтропией, а также смущает автодетектилку гита binary/text своим текстовым представлением.

В итоге, для бинарей гит видит, что там не текст и, например, не пытается показать дифф, а для base64 будет показывать (что, впрочем, правится gitattribute-ами).

не повлияет, да. говорю же - вкусовщина. про размер - проверю. может, и имеет смысл убрать base64

посмотрел, принцип понятен. В таком варианте получается все риски добавления обычного юзера в группу докера нивелированы? Ну т.е. до включения userns-remap:

$ docker run -it -v /root:/hostroot debian:stretch /bin/bash
root@6e77fe8279f1:/# ls -l /hostroot/
total 0

После включения userns-remap:

$ docker run -it -v /root:/hostroot debian:stretch /bin/bash
cd /hostroot/
bash: cd: /hostroot/: Permission denied

типа стало ОК. Но все ли риски убраны?

sops делает текстовые файлы если шифруется yaml или JSON , удобно

Нет не все и любая дока почему появился podman описывает в красках почему докер зло

$ docker run -it -v /root:/hostroot debian:stretch /bin/bash
root@6e77fe8279f1:/# ls -l /hostroot/
total 0

$ docker run -it -v /root:/hostroot debian:stretch /bin/bash
cd /hostroot/
bash: cd: /hostroot/: Permission denied

у тебя внутри контейнера не настоящий рут, а виртуальный замапленый. Запусти приложение от рута в контейрере и посмотри его uid на хосте, там будет какой нибудь 217584.  

ну и запрещены всякие privileged, network=host, pid=host.

Все риски никогда не предусмотришь, но рута таким образом отнять можно

как залочить порты для определенных пользователей? без aws security groups

Что значит "залочить"? Зарезервировать для?

какие пользователи имеются в виду?

Проще разрешить определенным да и все

Я имеб в виду линуксовые пользователи?

Тогда там можно повесить марки в мангле по уиду, а в аутпуте по маркам дропать или вроде сразу можнт дропать, точно не помню. В айпитейблс

Не, тут другая задача стоит. Другие пользователи на уровне ip