Docker环境variables安全性
我有一个docker应用程序,我需要传递一个安全的信息,因为它使用密码来encryption/解密存储的数据。 我想弄清楚使用一个环境variables传递这个信息有多安全。 我知道,如果我使用
docker run -e passphrase="secretkey123" --name containername imagename 那么值可以通过以下方式find:
docker inspect containername
因此它必须存储在磁盘上的某个地方(在/ var / lib / docker中我假设)。 有没有更安全的方式来传递一个环境variables到docker? 我应该使用链接到主机文件系统的卷中的临时文件吗? 有没有更好的办法?
无论存储在哪里,都可以通过“docker检查”清楚地获得。 我认为这归结于你想要的安全性。 例如,您可以使用具有文件权限的共享卷来限制对磁盘上密码文件的访问。 或者你可以使用socker / ssh / etc来避免将密码放在磁盘上的文件中。 这取决于你真正想要的安全性。
我注意到,如果你有一个Web服务器运行在一个容器中,我假设有人跳出Web服务器,他们只能访问什么容器可以访问(而不是运行docker的主机操作系统)。