為什么Docker Secrets比環境變量更安全?
[英]Why is Docker Secrets more secure than environment variables?
問題描述
我正在閱讀Docker Secrets並繼續閱讀,Docker的人故意選擇在/run/secrets下的文件中存儲機密,而不是使用環境變量。 但無處我就一直能夠找到一個解釋, 為什么 。
所以我問:為什么使用Docker Secrets機制比將環境變量注入我的容器(通過-e或--env-file )更安全?
1 個解決方案
解決方案1
10 已采納 2017-06-18 14:27:48
因為秘密是加密的。 從文檔 :
秘密在運輸過程中和 Docker群中的靜止狀態下進行加密 。 只有那些已被授予顯式訪問權限的服務才能訪問給定的機密,並且只有在這些服務任務正在運行時才能訪問。
你也可以
使用Docker機密來集中管理這些數據,並將其安全地傳輸到那些需要訪問它的容器。
環境變量的問題在於,所有密碼和ssh密鑰都以明文形式存儲,並且所有具有相同權限或更多權限的進程都可以訪問這些憑據。 在* nix OS中,您可以使用pid值輕松讀取pid值為<pid>的進程的環境變量:
cat /proc/<pid>/environ
將機密安裝為文件而不是將其作為環境變量通過Kubernetes上的Docker傳遞時是否有安全優勢?
[英]Is there any security advantage to mounting secrets as a file instead of passing them as environment variables with Docker on Kubernetes?
將密碼作為環境變量(而不是純文本)存儲在配置文件中是否安全?
[英]Is it secure to store passwords as environment variables (rather than as plain text) in config files?
提取到環境變量后以安全的方式處理OpenShift秘密
[英]Handling OpenShift secrets in a safe way after extraction into environment variables
聲明:本站的技術帖子網頁,遵循CC BY-SA 4.0協議,如果您需要轉載,請注明本站網址或者原文地址。任何問題請咨詢:yoyou2525@163.com.