Docker只读套接字卷
对docker工人来说并不陌生,并且正在倾听这里给出的谈话 (相关部分从14:40到大约16:00)。 相关部分讨论了为套接字使用只读卷与MySQL服务器进行通信。 他介绍的情况是,它阻止了被黑客入侵的服务器删除了MySQL套接字。
我只是无法理解这意味着要处理什么安全威胁。 他说,黑客所能做的就是“select我的电子邮件地址”(可能意味着他可以访问所有的数据)。 这不是一个巨大的安全漏洞?
其次,这种方法比使用TCP / IP进行连接的优点是什么? 这是否仅仅是因为你不必在你的容器中暴露该端口?
根据我的理解,它提供的唯一安全性是防止它们从只读服务器中删除unix域套接字。 如果这种情况发生,从安全的angular度来看,这实际上是一个大问题吗?
你理解正确。 只读卷将像暴露的TCP端口一样安全。
出于性能或兼容性原因,您可能需要使用UNIX套接字。 在这种情况下,您不希望受损容器能够删除套接字并为所有其他MySQL客户端导致DoS。 使用TCP,这是不可能的,因为你不能“删除”TCP服务器套接字。