DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:38

ну по сути тотже valut

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:37

https://ru.wikipedia.org/wiki/Проблема_XY_(Ошибка_молотка)

Сформулируй проблему и чего ты хочешь по итогу достичь (какую модель угроз рассматриваешь, от которой хочешь защититься)

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:34

но как вариант тоже годно

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:33

Чем плох метод с декриптом в первом контейнере и запуском декрипченного во втором?

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:32

Ну так в твоей же статье, в пункте 5 написано, что так лучше не делать))

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:30

так в чем проблема передать как аргумент в env допустим?

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:24

Мне не надо его генерить. Это пароль которым зашифрован файл на диске, приложение должно получить пароль, расшифровать файл и начать работать.

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:20

если пароль к службе которая поднимаеться внутри - обычно используют passgen и выводят либо в лог либо сохраняют внутри

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:19

одноразовые тикеты/токены какие-нибудь

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:16

ну а как еще) все равно что физически сервер дать разработчику. тоже не упрятать ничего, но настроить и затереть условно как с билдом образа

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:14

в 5 пукте об этом сказано)
но без кластера либо buildkit либо multi stage сборкой

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:13

Эта хорошая статья. Спасибо!
Но я щас читаю про docker secret и он может работать только со swarm.

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:00

https://getupnote.com/share/notes/5l9vWOdpkFY4967zXQeWxt9tCS22/0E36FA13-456C-46FD-AD23-2D252F0DFF16
5 пункт

DevSecOps - русскоговорящее сообщество

29 Jun 2023 21:30

docker run -i -v /pathto/password/file:/pass.txt

DevSecOps - русскоговорящее сообщество

29 Jun 2023 21:21

Есть приложение которое при старте ждёт пароль на stdin.
Вопрос: как его запустить в докере?

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:38

Переменные из CI/CD, Azure Key Vault, Yandex Lockbox, doppler и тд и тп

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:37

потому-что приложение само эти файлы шифрует и расшифровывает. Это как волт которому нужно unseal сделать.

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:34

проще уж взять key store тогда)

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:33

там про сборку
про простой запуск - в env передается как правило

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:32

сомневаюсь. проблема не в реализации) скорее в поставленной задачи)

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:27

Может в containerd эта проблема решена?

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:21

random() {
openssl rand -base64 21
}

random > pass.txt

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:19

надо передать пароль на stdin процессу при запуске.
echo "password" | command сделать вместо просто command

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:18

пароль к чему? если разово авторизоваться - то вариантов много вроде
если держать внутри или в окружении то никак)

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:16

Так билд это билд, с этим у меня проблем нету.
Мне запустить надо с паролем и не палить его по возможности.

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:14

так тупо ваще, нафиг так сделално

DevSecOps - русскоговорящее сообщество

29 Jun 2023 22:06

лучший - не хранить) доставлять. в кубе путем push/pull. в одно случае приложение знает куда ходить за секретом, в другом вообще без всего, но в приложение доставляется секрет по необходимости.

а так собирать с buildkit, не оставляет в inspect при определенном подходе(ссылка выше, там еще ссылка на ман) либо vault и прочие системы управления секретами

DevSecOps - русскоговорящее сообщество

29 Jun 2023 21:33

А в entrypoint типа сделать cat /pass.txt | command? А есть способ получше? Чтобы не хранить нигде пароль в открытом виде.

DevSecOps - русскоговорящее сообщество

29 Jun 2023 21:22

Как передать docker run пароль, чтобы он его на stdin процессу отправил?

DevSecOps - русскоговорящее сообщество

25 Jun 2023 19:23

Я проверял через терминал, в executor указал docker