如何解决我可以从docker image禁用“ -t”选项吗?
我们想将docker映像放入客户计算机的互联网之外。
为了在某种程度上防止可能的代码泄漏(python脚本),我的想法是制作一个仅使特定端口保持打开状态并编写套接字程序以传递命令/数据的映像。
在将其付诸实践之前,我需要确保用户无法使用其他方法(包括“ -t”选项)访问正在运行的容器。
因此,作为一个新手,我想问一下这是否可能。非常感谢!
解决方法
否:Docker映像无法阻止(或要求)任何特定的运行时选项。
在尝试隐藏Docker映像内容的特定情况下,任何可以运行任何docker
命令的人都可以轻易地在主机上获得无限的root用户访问权限,并且可以docker run
进行任何命令;即使无法使用-t
选项,他们也可以docker run ... tar cvf - /app
复制源代码,或者他们可以在/var/lib/docker
树中找到源代码,并进行一些拨弄。
阻止交互式Shell访问容器的唯一方法是根本不在映像中包含Shell(即使那样,您也可以将Busybox二进制文件绑定安装到容器中并运行它)。防止源代码从映像中复制出来的唯一方法是完全不存在。这意味着如果您担心这种情况,则必须使用编译语言(Go,C ++,Java,Rust)。
版权声明:本文内容由互联网用户自发贡献,该文观点与技术仅代表作者本人。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如发现本站有涉嫌侵权/违法违规的内容, 请发送邮件至 dio@foxmail.com 举报,一经查实,本站将立刻删除。