Bagaimana mencegah melampirkan atau mengeksekusi dalam wadah buruh pelabuhan

Bagaimana cara mencegah agar pengguna dari wadah buruh pelabuhan yang dibuat sebelumnya tidak dapat mengakses sebuah shell di dalam instance yang berjalan dari wadah itu? Saya telah googled dan membaca semua posting yang terkait dengan skenario ini dan muncul tanpa solusi yang berfungsi. Saya mencoba untuk mencegah akses ke sumber daya yang diberikan dalam wadah, demi penyelidikan ini, katakanlah ini adalah nomor seri dalam file konfigurasi. Saya membangun berdasarkan java: 7 gambar yang didasarkan pada gambar ubuntu .

Untuk menguji solusi Anda, lakukan hal berikut:

1. Buat dan jalankan wadah buruh pelabuhan Anda

2. Ekspor kontainer Anda

   ekspor buruh pelabuhan [nama wadah] | gzip -c> mycontainer.tar.gz

3. Impor wadah Anda pada sistem eksternal

   gzip -dc mycontainer.tar.gz | impor buruh pelabuhan - [nama wadah]

4. Jalankan wadah

5. Shell ke wadah berjalan menggunakan salah satu / semua metode berikut:

   docker exec -it [nama wadah] bash

   buruh pelabuhan melampirkan [nama wadah]

   run docker -ti --entrypoint = / bin / bash [nama wadah]

[nama wadah] adalah nama wadah Anda

bash, dash, dan sh adalah semua shell yang valid

Khusus untuk bashperintah, saya menambahkan file .bashrc exitpada akhir file, jadi pengguna log in dan akhirnya ditendang keluar, tetapi pengguna masih dapat menggunakan shperintah.

Untuk menambahkan jawaban Jose, solusi lain adalah dengan ...

docker exec :id -it /bin/rm -R /bin/*

Itu menghilangkan sh dan perintah bin yang berguna di linux. Saya tidak yakin apa yang akan Anda lakukan untuk masuk ke wadah pada saat itu. Meskipun saya tahu bahwa Anda mungkin dapat menggunakan debugger memori untuk mendapatkan variabel lingkungan dari wadah yang sedang berjalan, tetapi membuatnya jauh lebih menyebalkan ... Saya ingin tahu apakah ada cara untuk mengunci memori itu di cincin 0 dan mengambilnya akses ssh sama sekali ke host.

Jika ada yang tahu cara memecahkannya, saya akan tertarik mengetahui caranya.

EDIT

Anda ingin menggunakan rahasia buruh pelabuhan jika Anda melindungi informasi sensitif. Periksa:

https://docs.docker.com/engine/swarm/secrets/

Jika informasi yang ingin Anda lindungi adalah nomor seri, maka mengenkripsi informasi itu adalah satu-satunya cara pasti untuk melindunginya. Anda dapat memilih berbagai cara untuk mengenkripsi data rahasia, pastikan Anda menggunakan kunci yang kuat. Anda juga dapat membuat aplikasi Anda mengirim data rahasia ke server Anda untuk mengidentifikasi validitasnya dan berdasarkan pada balasan dari server Anda, aplikasi tersebut dapat terus bekerja atau berhenti dan menampilkan pesan.

Singkatnya, selalu asumsikan bahwa aplikasi Anda dapat dibedah sepenuhnya dan menyeluruh. Selalu mengenkripsi semua data rahasia dan penting menggunakan kunci yang kuat sehingga memecahkan kunci akan memakan waktu yang sangat lama (asumsikan bahwa algoritma enkripsi tersedia untuk umum atau terkenal).

Mencegah akses sendirian bahkan jika Anda menemukan cara untuk melakukannya hanya akan memberikan rasa aman yang salah.