Estaba tratando de entender la funcionalidad secreta de Docker y tenía una consulta. Supongamos que nuestro contenedor está ejecutando un microservicio vulnerable como el servidor PHP que es susceptible a RCE. ¿Alguien puede atacar mi contenedor a través de la dirección IP y obtener un shell para mi contenedor? En caso afirmativo, ¿puede el atacante descartar el contenido del archivo secreto que se monta?
Respuesta corta: si. La documentación de Docker dice:
Los secretos se cifran durante el tránsito y en reposo ... Aquí
, que es exactamente lo que se supone que es. Y, en este caso, descanse: mientras no sea utilizado por el contenedor de la ventana acoplable.
Pero si su software en ejecución necesita leer los secretos (como una clave SSH), tiene que ser descifrado. Esto significa que, en todos los casos, el secreto se monta en un contenedor de la ventana acoplable y se descifra. Y dado este escenario, cada atacante que tenga acceso de shell podrá leer esto también. Esto no es de lo que trata de protegerte. Consulte también: Docker Secrets
Si un atacante busca en su contenedor, diría que puede ver lo que hay dentro del archivo, ya que, según la documentación, el archivo está montado sin cifrar en el contenedor:
Cuando concede un acceso de servicio recién creado o en ejecución a un secreto, el secreto descifrado se monta en el contenedor en una memoria sistema de archivos. La ubicación del punto de montaje dentro del contenedor. por defecto es / run / secrets / en contenedores de Linux, o C: \ ProgramData \ Docker \ secrets en contenedores de Windows. Puede especificar un ubicación personalizada en Docker 17.06 y superior.
También dice que:
Puede actualizar un servicio para otorgarle acceso a secretos adicionales o revocar su acceso a un secreto dado en cualquier momento.
Tal vez podría revocar el acceso después de que su proceso haya cargado el secreto en la memoria para que el archivo ya no esté adjunto al contenedor.
Enlace a la documentación para 17.09 enlace