Stavo cercando di capire la funzionalità segreta di Docker e avevo una query. Supponiamo che il nostro contenitore stia eseguendo un microservizio vulnerabile come il server PHP che è suscettibile di RCE. Qualcuno può attaccare il mio contenitore attraverso l'indirizzo IP e ottenere una shell nel mio contenitore? Se sì, l'attaccante può cat i contenuti del file segreto che è montato?
Risposta breve: sì. La documentazione di Docker dice:
Secrets are encrypted during transit and at rest... Here
, che è esattamente ciò che dovrebbe essere. E resto in questo caso significa: Mentre non è utilizzato dal contenitore docker.
Ma se il tuo software in esecuzione ha bisogno di leggere i segreti (come una chiave SSH) deve essere decodificato. Ciò significa che in ogni caso il segreto viene montato su un container docker che verrà decodificato. E dato questo scenario, ogni attaccante che ha accesso alla shell sarà in grado di leggere anche questo. Questo non è ciò che la finestra mobile tenta di proteggerti. Vedi anche: Docker Secrets
Se un utente malintenzionato radica il tuo contenitore, direi che è in grado di vedere cosa c'è dentro il file, poiché secondo la documentazione, il file è montato non crittografato sul contenitore:
When you grant a newly-created or running service access to a secret, the decrypted secret is mounted into the container in an in-memory filesystem. The location of the mount point within the container defaults to /run/secrets/ in Linux containers, or C:\ProgramData\Docker\secrets in Windows containers. You can specify a custom location in Docker 17.06 and higher.
Si dice anche che:
You can update a service to grant it access to additional secrets or revoke its access to a given secret at any time.
Forse potresti revocare l'accesso dopo che il tuo processo ha caricato il segreto in memoria in modo che il file non sia più collegato al contenitore.
Link ai documenti per 17.09 link