Sécuriser ses conteneurs

**mister3957** · 03/01/2018, 14h34

Bonjour à tous,

Nous fournissons des services qui sont hébergés dans des conteneurs Docker. Certains clients veulent que ces services soient hébergés par leurs hébergeurs et ainsi maîtriser l'infogérance.

Nous pouvons livrer des conteneurs (sans le Dockerfile) mais actuellement il est facile de faire un "docker exec -it service1 /bin/sh", de fouiller dedans et de rendre accessible certains éléments applicatifs que nous préférons ne pas dévoiler.

Est-ce possible d'imposer un mot de passe pour rentrer dans un conteneur ? En créant mettant un MDP sur root peut-être ?

Merci et à bientôt

**Christophe** · 04/01/2018, 10h31

A ma connaissance, docker n'est pas conçu pour ça.

Il te faut donc protéger tes applicatifs.

Par ailleurs en cas de dysfonctionnement qui est responsable ? ton conteneur ? leur hébergeur ?

En lien avec le sujet :
https://virtualisation.developpez.co...eneurs-Docker/

**frp31** · 04/01/2018, 22h24

Christophe a absolument raison

la sécurité docker est assez difficile à mettre en place sans brider les applications/services
il faut tjrs considérer docker comme limité à tout jamais à de l'usage LAN pour des raisons de sécurité évidentes ... même si c'est parfois tentant et pratique il faut avouer

à lire en complément le stricte minimum vital a faire mème pour un containeur de dev !
https://w3blog.fr/2016/02/23/docker-...nes-pratiques/

**mister3957** · 04/01/2018, 22h33

Merci pour vos réponses.

Du coup c'est pas une super idée de livrer un service propriétaire en livrant le conteneur qui le dessert ?

**Christophe** · 05/01/2018, 09h21

Il faut voir Docker comme de la virtualisation d'application ou service par rapport à une VM qui elle virtualise un OS complet.

Le contenu reste donc accessible par l'hôte.

Quelle techno est utilisé dedans ?

Exemple, pour un site PHP, on peut utiliser Zend, les sources ne sont donc plus disponibles.

**nathieb** · 05/01/2018, 18h32

Bonjour,

Si votre solution est un binaire, une livraison docker ne pose pas de pb,
car la sécurité se fait dans le binaire injecté dans le conteneur.
Dans l'autre cas, Docker est pensé pour être ouvert, le fermer n'est pas la
solution ? c'est tentant mais la meilleur solution est sans docker.

La question précédente est pertinente, quel techno ??

Olivier

Sécuriser ses conteneurs

Docker

Vue hybride

Discussions similaires

Partager

Partager