[英]Why is Docker Secrets more secure than environment variables?
我正在閱讀Docker Secrets並繼續閱讀,Docker的人故意選擇在/run/secrets
下的文件中存儲機密,而不是使用環境變量。 但無處我就一直能夠找到一個解釋, 為什么 。
所以我問:為什么使用Docker Secrets機制比將環境變量注入我的容器(通過-e
或--env-file
)更安全?
因為秘密是加密的。 從文檔 :
秘密在運輸過程中和 Docker群中的靜止狀態下進行加密 。 只有那些已被授予顯式訪問權限的服務才能訪問給定的機密,並且只有在這些服務任務正在運行時才能訪問。
你也可以
使用Docker機密來集中管理這些數據,並將其安全地傳輸到那些需要訪問它的容器。
環境變量的問題在於,所有密碼和ssh密鑰都以明文形式存儲,並且所有具有相同權限或更多權限的進程都可以訪問這些憑據。 在* nix OS中,您可以使用pid值輕松讀取pid值為<pid>
的進程的環境變量:
cat /proc/<pid>/environ
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.