1043
Обсуждения на тему DevOps and Security. Делимся полезным контентом и практиками. https://github.com/devops-ru/awesome-devsecops_ru За DevOps/SRE можно потереть тут: @devopsmoscow
https://ru.wikipedia.org/wiki/Проблема_XY_(Ошибка_молотка)
Сформулируй проблему и чего ты хочешь по итогу достичь (какую модель угроз рассматриваешь, от которой хочешь защититься)
но как вариант тоже годно
Читать полностью…
Чем плох метод с декриптом в первом контейнере и запуском декрипченного во втором?
Читать полностью…
Ну так в твоей же статье, в пункте 5 написано, что так лучше не делать))
Читать полностью…
так в чем проблема передать как аргумент в env допустим?
Читать полностью…
Мне не надо его генерить. Это пароль которым зашифрован файл на диске, приложение должно получить пароль, расшифровать файл и начать работать.
Читать полностью…
если пароль к службе которая поднимаеться внутри - обычно используют passgen и выводят либо в лог либо сохраняют внутри
Читать полностью…
одноразовые тикеты/токены какие-нибудь
Читать полностью…
ну а как еще) все равно что физически сервер дать разработчику. тоже не упрятать ничего, но настроить и затереть условно как с билдом образа
Читать полностью…
в 5 пукте об этом сказано)
но без кластера либо buildkit либо multi stage сборкой
Эта хорошая статья. Спасибо!
Но я щас читаю про docker secret и он может работать только со swarm.
https://getupnote.com/share/notes/5l9vWOdpkFY4967zXQeWxt9tCS22/0E36FA13-456C-46FD-AD23-2D252F0DFF16
5 пункт
docker run -i -v /pathto/password/file:/pass.txt
Читать полностью…
Есть приложение которое при старте ждёт пароль на stdin.
Вопрос: как его запустить в докере?
Переменные из CI/CD, Azure Key Vault, Yandex Lockbox, doppler и тд и тп
Читать полностью…
потому-что приложение само эти файлы шифрует и расшифровывает. Это как волт которому нужно unseal сделать.
Читать полностью…
проще уж взять key store тогда)
Читать полностью…
там про сборку
про простой запуск - в env передается как правило
сомневаюсь. проблема не в реализации) скорее в поставленной задачи)
Читать полностью…
Может в containerd эта проблема решена?
Читать полностью…
random() {
openssl rand -base64 21
}
random > pass.txt
надо передать пароль на stdin процессу при запуске. echo "password" | command сделать вместо просто command
пароль к чему? если разово авторизоваться - то вариантов много вроде
если держать внутри или в окружении то никак)
Так билд это билд, с этим у меня проблем нету.
Мне запустить надо с паролем и не палить его по возможности.
так тупо ваще, нафиг так сделално
Читать полностью…
лучший - не хранить) доставлять. в кубе путем push/pull. в одно случае приложение знает куда ходить за секретом, в другом вообще без всего, но в приложение доставляется секрет по необходимости.
а так собирать с buildkit, не оставляет в inspect при определенном подходе(ссылка выше, там еще ссылка на ман) либо vault и прочие системы управления секретами
А в entrypoint типа сделать cat /pass.txt | command? А есть способ получше? Чтобы не хранить нигде пароль в открытом виде.
Как передать docker run пароль, чтобы он его на stdin процессу отправил?
Читать полностью…
Я проверял через терминал, в executor указал docker
Читать полностью…