问码头秘密保安

EN

简短回答:是的。码头工人的文件说：

秘密在传输和休息时被加密..。这里

，这正是我们应该看到的。而rest在本例中的意思是:虽然它不被码头集装箱使用。

但是，如果您正在运行的软件需要读取秘密(如SSH密钥)，则必须对其进行解密。这意味着，在任何情况下，秘密都被安装到一个码头容器中，它将被解密。在这种情况下，每一个拥有shell访问权限的攻击者都可以读取此文件。这不是码头工人想保护你不受的。另见：码头机密

如果攻击者访问了您的容器，我会说他能够看到文件中的内容，因为根据文档，该文件是未加密的安装在容器上的：

当您授予新创建或正在运行的服务访问某个秘密时，解密的秘密将被装入内存中的文件系统中的容器中。容器中挂载点的位置默认为/run/保密/在Linux容器中，或者在Windows容器中的C：\ProgramData\Docker\保密。您可以在Docker 17.06及更高版本中指定自定义位置。

它还说：

您可以更新一个服务，以授予它对其他秘密的访问权，或者在任何时候撤销它对给定秘密的访问。

也许您可以在进程将秘密加载到内存中之后撤销访问，这样文件就不再附加到容器了。

链接到17.09 https://docs.docker.com/engine/swarm/secrets/#how-docker-manages-secrets的文档

使用您自己的技术对秘密进行盐分，从坞元数据、环境、参数或环境变量等获取输入，然后使用md5和docker检查来收集本地存储它所需的信息，将其保存为本地的盐渍秘密，在容器上只有知道无盐技术的人才能破坏它，理论上只有使用md5本身运行命令才能破坏它。有时候，应用程序中嵌入了md5算法(想到了数据库)，这意味着您可以从OS层卸载md5工具，而且它应该仍然是可用的。总之，让它变得更具挑战性和不可预知性。