docker的新手,正在听to the talk given here(相关部分从14:40到大约16:00)。相关部分讨论的是为套接字提供一个只读卷,以便与MySQL服务器进行通信。他提出的方案是,它防止黑客入侵服务器的人删除MySQL套接字。
我只是很难理解这意味着要应对什么安全威胁。他说,黑客所能做的就是“选择我的电子邮件地址”(大概意味着他有权访问所有数据)。这不是一个重大的安全漏洞吗?
其次,与使用TCP / IP进行连接相比,此方法的优点是什么?是否只是为了让您不必在容器中暴露该端口?
据我了解,它提供的唯一安全性是防止它们从只读服务器中删除Unix域套接字。从安全的 Angular 来看,这是否真的有很大的意义?
最佳答案
您理解正确。只读卷将与公开的TCP端口一样安全。
出于性能或兼容性的原因,您可能要使用UNIX套接字。在这种情况下,您不希望受感染的容器能够删除套接字并为所有其他MySQL客户端引起DoS。对于TCP,这是不可能的,因为您无法“删除” TCP服务器套接字。
关于security - Docker只读套接字卷,我们在Stack Overflow上找到一个类似的问题: https://stackoverflow.com/questions/24393423/