草庐IT

network_security_config

全部标签

security - 使用 kubernetes 使用敏感信息填充 Docker 容器

我有一个运行容器的pod,这些容器需要访问APIkey和数据库密码等敏感信息。现在,这些敏感值嵌入到Controller定义中,如下所示:env:-name:DB_PASSWORDvalue:password然后在Docker容器中作为$DB_PASSWORD环境变量可用。一切都相当容易。但是在Secrets上阅读他们的文档,他们明确表示将敏感的配置值放入您的定义中违反了最佳实践,并且可能是一个安全问题。我能想到的唯一其他策略如下:为每个用户社区或命名空间创建一个OpenPGPkey使用crypt将配置值设置为etcd(使用私钥加密)创建一个包含私钥likeso的Kubernetess

security - 如何处理 docker 容器中的安全更新?

我们希望避免在dockerfile中包含“yumupdate”,因为它可能会根据构建docker镜像的时间生成不同的容器,但显然如果需要更新基础系统,这可能会带来一些安全问题。最好的选择真的是拥有一个组织范围的基础系统镜像并进行更新吗?存在的问题是,每次应用安全更新时,都需要在整个组织中重建和部署所有应用程序。一个对我来说似乎有点过时的替代方法是简单地忽略容器内的安全更新,只担心主机上的它们。这里的思考过程是,攻击者要进入容器,主机上需要有一个漏洞,docker-engine中有另一个漏洞才能进入容器,然后是另一个漏洞来利用容器中的某些东西。容器,这似乎是一系列难以置信的事件。随着用户

security - 如何处理 docker 容器中的安全更新?

我们希望避免在dockerfile中包含“yumupdate”,因为它可能会根据构建docker镜像的时间生成不同的容器,但显然如果需要更新基础系统,这可能会带来一些安全问题。最好的选择真的是拥有一个组织范围的基础系统镜像并进行更新吗?存在的问题是,每次应用安全更新时,都需要在整个组织中重建和部署所有应用程序。一个对我来说似乎有点过时的替代方法是简单地忽略容器内的安全更新,只担心主机上的它们。这里的思考过程是,攻击者要进入容器,主机上需要有一个漏洞,docker-engine中有另一个漏洞才能进入容器,然后是另一个漏洞来利用容器中的某些东西。容器,这似乎是一系列难以置信的事件。随着用户

Dusk Network DayBreak测试网初体验

1.引言Dusk系列博客有:Dusknetwork生态图rkyv(archive)——Dusknetwork赞助的ZKP研究项目DuskNetworkDaybreak上线前关键漏洞分析DuskNetwork定位为Layer-1支持隐私智能合约的区块链,主要技术点有:1)采用PLONK方案实现交易隐私保护。2)采用独特的PoS共识机制,可实现交易的快速固化。3)RUSK:实现隐私智能合约。2.DuskNetworkDayBreak测试网初体验通过testnetDusktokenfaucet,可获得相应的测试token。$rusk-wallet--versionDuskWalletCLI0.7.0

Dusk Network DayBreak测试网初体验

1.引言Dusk系列博客有:Dusknetwork生态图rkyv(archive)——Dusknetwork赞助的ZKP研究项目DuskNetworkDaybreak上线前关键漏洞分析DuskNetwork定位为Layer-1支持隐私智能合约的区块链,主要技术点有:1)采用PLONK方案实现交易隐私保护。2)采用独特的PoS共识机制,可实现交易的快速固化。3)RUSK:实现隐私智能合约。2.DuskNetworkDayBreak测试网初体验通过testnetDusktokenfaucet,可获得相应的测试token。$rusk-wallet--versionDuskWalletCLI0.7.0

networking - 如何将 Docker 容器配置为可通过 container_ip :port from outside the host machine? 访问

我有一台主机,多个IP地址分配给一个网络接口(interface)。我想配置Docker,以便让容器“响应”每个容器对分配给主机的这些IP地址的单个IP。这可以通过libcontainer完成,还是我必须使用LXC驱动程序并使用--lxc-conf="lxc.network..."运行我的容器?提前致谢。更新我希望每个容器都可以从外部访问;使用默认的Docker配置,我只能通过host_ip:exposed_port而不是通过container_ip:port公开一个端口并到达容器。可以通过某种方式配置第二个选项吗? 最佳答案 Th

networking - 如何将 Docker 容器配置为可通过 container_ip :port from outside the host machine? 访问

我有一台主机,多个IP地址分配给一个网络接口(interface)。我想配置Docker,以便让容器“响应”每个容器对分配给主机的这些IP地址的单个IP。这可以通过libcontainer完成,还是我必须使用LXC驱动程序并使用--lxc-conf="lxc.network..."运行我的容器?提前致谢。更新我希望每个容器都可以从外部访问;使用默认的Docker配置,我只能通过host_ip:exposed_port而不是通过container_ip:port公开一个端口并到达容器。可以通过某种方式配置第二个选项吗? 最佳答案 Th

security - 我可以在不使用 --privileged 标志的情况下运行 Docker-in-Docker

我想使用Docker-in-Docker但是--privileged提供了对设备的全面访问权限。有没有办法使用volumes和cap-add等的组合来运行它? 最佳答案 很遗憾没有,你必须使用--privileged标志在Docker中运行Docker,你可以看看officialannouncement他们说这是--privileged标志的众多用途之一。基本上,与没有--privileged的情况相比,您需要更多访问主机系统设备的权限才能运行docker。 关于security-我可以

security - 我可以在不使用 --privileged 标志的情况下运行 Docker-in-Docker

我想使用Docker-in-Docker但是--privileged提供了对设备的全面访问权限。有没有办法使用volumes和cap-add等的组合来运行它? 最佳答案 很遗憾没有,你必须使用--privileged标志在Docker中运行Docker,你可以看看officialannouncement他们说这是--privileged标志的众多用途之一。基本上,与没有--privileged的情况相比,您需要更多访问主机系统设备的权限才能运行docker。 关于security-我可以

networking - Linux 命名空间 : Is it possible for a network namespace to exist without being associated with a process?

ipnetns在/var/run/ns中创建对(命名的)网络命名空间的引用,可以很容易地跟踪。同样,也可以通过/proc/[pid]/ns/net确定。.但是,某些自定义程序可以创建一个netns并将相应的inode保存在其他一些非常规的位置。这会使我们难以确定是否有我们可以列出的netns。其次,unshare进程退出时销毁网络ns,这很好。但是,ipnetnsexec即使在命令/进程退出后也会保留ns。所以我相信,任何自定义程序都可以做到这一点。因此,问题是:自定义程序是否有可能创建一个未命名的网络ns,并且它与任何进程不关联?此外,如果我们不知道到inode的路径,是否可以从用户