我正在以非root用户tomcat(全部在Rancher环境中运行)在Docker容器内的tomcat上运行我的应用程序。
所以,当然,当你做
$ docker exec -ti <containderId> /bin/bash
你最终在容器内有一个壳
tomcat@bd57f0210601:/opt/tomcat$
最近,我们进行了一次安全审核(最严格的检查),检查了应用程序堆栈的所有方面。测试人员提出了一个问题,即使用交互式 shell 程序会引起安全问题! ?
尽管我并不完全不同意,但是在该特定问题上未能找到良好的研究/最佳实践/安全问题却没有成功,但我仍然想知道其优缺点吗?
任何人都可以根据自己的经验或仅通过链接分享有关该主题的一些信息?
最佳答案
您可以像这样从图像中完全删除 shell :
docker exec :id -it /bin/rm -R /bin/*
但是,如果您想保留用户的敏感信息并允许某种访问权限,请 checkout :
https://docs.docker.com/engine/swarm/secrets/
关于security - Docker安全性-允许交互式Shell吗?,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/51835256/