Docker的新手,正在聆听to the talk given here(相关部分从14:40到16:00)。相关部分讨论了如何让套接字与MySQL服务器进行通信的只读卷。他提出的方案是,它可以防止被黑客入侵服务器的人删除MySQL套接字。
我很难理解这意味着要处理的安全威胁。他说,黑客所能做的就是选择我的电子邮件地址" (可能意味着他可以访问所有数据)。这不是一个巨大的安全漏洞吗?
其次,这种方法相比使用TCP / IP连接有什么优势?它是否只是让您不必在容器中暴露该端口?
据我了解,它提供的唯一安全性是防止它们从只读服务器中删除unix域套接字。从安全的角度来看,如果它发生的话,这实际上是一件大事吗?
答案 0 :(得分:2)
你理解正确。只读卷与暴露的TCP端口一样安全。
出于性能或兼容性原因,您可能希望使用UNIX套接字。在这种情况下,您不希望受感染的容器能够删除套接字并导致所有其他MySQL客户端的DoS。使用TCP这是不可能的,因为你不能删除"一个TCP服务器套接字。