我有一个泊坞窗应用程序,我需要将一条安全的信息传递给它,因为它使用密码短语来加密/解密存储的数据。我试图弄清楚使用环境变量来传递此信息有多安全。我知道如果我使用
docker run -e passphrase="secretkey123" --name containername imagename
然后可以通过以下方式找到值:
docker inspect containername
因此,它必须存储在磁盘上的某个位置(我假设位于/ var / lib / docker中)。还有其他将环境变量传递给docker的安全方法吗?我应该在链接到主机文件系统的卷中使用临时文件吗?有更好的方法吗?
[无论存储在何处,都可以通过“ docker inspect”明确访问它。我认为这归结为您希望它有多安全。例如,您可以改为使用具有文件权限的共享卷来限制对磁盘上密码文件的访问。或者,您可以使用Socker / ssh / etc来避免将密码完全放在磁盘上的文件中。这取决于您真正想要的安全程度。
[我确实注意到,如果您说一个Web服务器在容器中运行,我假设如果有人闯出Web服务器,他们只能访问该容器可以访问的内容(而不是运行docker的主机OS)。] >
接受的答案并不表示您需要root访问权限才能与Docker进程/资产进行交互。