usar distroless como uma forma de impedir executar um shell no container não vai impedir o acesso, a pessoa poderia extrair a imagem do container e acessar os arquivos como se fosse um mero pendrive

mesmo limitando o acesso root, se a pessoa tem acesso físico a máquina poderia usar um live USB Linux, fazer acesso chroot e substituir a senha root e assim ter acesso completo

no final a melhor opção é a obfuscação mesmo kk