Секреты Docker в безопасности?
В вашем случае, если записи файлов в вашем .gitignoreне начинаются с !, тогда этот вкладыш -вам подойдет:
while read -r entry;do rm -rf ${entry}; done <.gitignore
К сожалению, быть в безопасности — непростой термин. Я бы скорее говорил о оценке риска и принятии риска . Все сводится к ответам на вопросы, насколько вы параноик; какое решение вы считаете безопасным.
Согласно документации, у нас есть:
When you add a secret to the swarm, Docker sends the secret to the swarm manager over a mutual TLS connection. The secret is stored in the Raft log, which is encrypted. The entire Raft log is replicated across the other managers, ensuring the same high availability guarantees for secrets as for the rest of the swarm management data.
Наличие секретов. На контейнер эфемерность . Вы никогда не знаете узел, на котором запущен и работает ваш контейнер, и вас это не должно сильно волновать. Сказал, что эти секреты должны быть доступны везде, где работает контейнер.
Тайны памяти.Там как бы написано -о хранении секретов в памяти, здесь . Проблема в том, что если вы не доверяете своей системе и ее управлению памятью, у вас есть гораздо более серьезная проблема, чем просто пароль, хранящийся в памяти.
Разница.
- Секреты в файле обычно сохраняются открытым текстом. wp -config Лучше хранить их постоянно зашифрованными, а незашифрованные -только в памяти.
- Секреты должны быть повернуты .
Говорится, что вы можете добиться почти того же самого, если сохраните свой секретный файл в зашифрованном виде с помощью openssl , расшифруйте его и поместите в память незашифрованное -содержимое. Все, что вы бы сделали вручную.