Ich habe mich über die Sicherheitsstufe von Docker-Geheimnissen gewundert, da sie als sicher gelten. Wenn ich einem Dienst Zugriff auf ein Geheimnis gewähre, kann ich wie erwartet ein Tempfs sehen, das auf dem Containerpfad ( /var/lib/docker/containers/<container ID>/mounts/secrets) auf dem Knoten gemountet ist, der die Aufgabe des Dienstes hostet. Ich konnte jedoch die Datei in diesem Pfad caten und den Inhalt des Geheimnisses sehen.
An diesem Punkt habe ich mich gefragt, was Geheimnisse sicherer macht als Konfigurationen. Meines Wissens ist die Tatsache, dass sie auf RAM-Disks gespeichert sind, der Hauptunterschied zwischen ihnen und Konfigurationen. Sowohl Konfigurationen als auch Geheimnisse sind in Raft verschlüsselt. Der einzige Unterschied besteht darin, dass Konfigurationen in Dateien auf Disks gespeichert werden, während sie in Container eingebunden sind, im Gegensatz zu Geheimnissen, die auf RAM-Disks gespeichert sind. Aber wenn ich den Inhalt der Geheimnisse anzeigen kann, macht das dann wirklich einen Unterschied?
Antwort1
Bedauerlicherweise,sicher seinist kein einfacher Begriff. Ich würde lieber überRisikobewertungUndRisikoakzeptanz. Es geht darum, die Fragen zu beantworten, wie paranoid Sie sind; welche Art von Lösung Sie für sicher halten.
Gemäß Dokumentation,wir haben:
Wenn Sie dem Schwarm ein Geheimnis hinzufügen, sendet Docker das Geheimnis über eine gegenseitige TLS-Verbindung an den Schwarmmanager. Das Geheimnis wird im Raft-Protokoll gespeichert, das verschlüsselt ist. Das gesamte Raft-Protokoll wird auf die anderen Manager repliziert, wodurch für Geheimnisse die gleiche hohe Verfügbarkeit garantiert wird wie für den Rest der Schwarmverwaltungsdaten.
Verfügbarkeit von Geheimnissen.Pro ContainerVergänglichkeit. Sie wissen nie, auf welchem Knoten Ihr Container läuft, und Sie sollten sich auch nicht groß darum kümmern. Diese Geheimnisse sollten überall verfügbar sein, wo der Container läuft.
Geheimnisse in der Erinnerung.Es gibt eine Art Artikel über das Bewahren von Geheimnissen im Gedächtnis,HierDas Problem ist... wenn Sie Ihrem System und seiner Speicherverwaltung nicht vertrauen, haben Sie ein weitaus größeres Problem als nur das im Speicher abgelegte Passwort.
Unterschied.
- Geheimnisse in Dateien werden grundsätzlich im Klartext gespeichert.wp-configEs ist viel besser, sie dauerhaft verschlüsselt und unverschlüsselt nur im Speicher zu behalten.
- Geheimnisse solltengedreht.
Das heißt, Sie können erreichenfastdasselbe, indem Sie Ihre geheime Datei verschlüsselt halten mitopenssl, entschlüsseln Sie es und legen Sie den unverschlüsselten Inhalt im Speicher ab. All das würden Sie manuell erledigen.