Docker和安全密码

我最近一直在尝试使用Docker构建一些服务，有一件事一直困扰着我，那就是把密码放在Dockerfile中。我是一名开发人员，所以在源代码中存储密码感觉就像在脸上打了一拳。这值得担心吗?Dockerfiles中有什么好的处理密码的约定吗?

当前回答

我想，如果它是bash shell，像这样简单的东西就可以工作。

读取-sp "db_password:" password | docker run -itd——name <container_name>——build-arg mysql_db_password=$db_password alpine /bin/bash

只需默读它，并在Docker映像中作为参数传递。你需要在Dockerfile中接受变量作为ARG。

2020-09-21 20:44:10

其他回答

12因素应用程序方法告诉我们，任何配置都应该存储在环境变量中。

Docker compose可以在配置中进行变量替换，因此可以用来将密码从主机传递到Docker。

2018-06-07 15:28:38

这肯定是一个问题。dockerfile通常被签入存储库并与其他人共享。另一种方法是在运行时提供任何凭据(用户名、密码、令牌，任何敏感的东西)作为环境变量。这可以通过-e参数(用于CLI中的单个变量)或——env-file参数(用于文件中的多个变量)来运行docker。阅读这篇文章，了解如何在docker-compose中使用环境。

使用——env-file绝对是一个更安全的选择，因为如果使用set -x，它可以防止秘密显示在ps或日志中。

然而，环境变量也不是特别安全。通过docker inspect可以看到它们，因此任何可以运行docker命令的用户都可以使用它们。(当然，在主机上可以访问docker的任何用户都有root权限。)

我更喜欢的模式是使用包装器脚本作为ENTRYPOINT或CMD。包装器脚本可以首先在运行时将秘密从外部位置导入到容器中，然后执行应用程序，提供秘密。具体的机制取决于您的运行时环境。在AWS中，您可以使用IAM角色、密钥管理服务和S3的组合来将加密的秘密存储在S3桶中。HashiCorp Vault或credstash是另一种选择。

在构建过程中使用敏感数据没有最佳模式。事实上，我有一个关于这个话题的SO问题。您可以使用docker-squash从映像中删除图层。但是Docker中并没有用于此目的的本机功能。

您可能会发现在容器中对配置的shykes注释很有用。

2014-03-26 05:59:07

While I totally agree there is no simple solution. There continues to be a single point of failure. Either the dockerfile, etcd, and so on. Apcera has a plan that looks like sidekick - dual authentication. In other words two container cannot talk unless there is a Apcera configuration rule. In their demo the uid/pwd was in the clear and could not be reused until the admin configured the linkage. For this to work, however, it probably meant patching Docker or at least the network plugin (if there is such a thing).

2015-07-21 15:01:19

Docker现在(版本1.13或17.06或更高)支持管理秘密信息。下面是概述和更详细的文档

kubernetes和DCOS也存在类似的特征

2017-07-13 17:40:44

我想，如果它是bash shell，像这样简单的东西就可以工作。

读取-sp "db_password:" password | docker run -itd——name <container_name>——build-arg mysql_db_password=$db_password alpine /bin/bash

只需默读它，并在Docker映像中作为参数传递。你需要在Dockerfile中接受变量作为ARG。

2020-09-21 20:44:10

Docker和安全密码

推荐文章

最新文章

标签