Security 如果kubernetes吊舱具有只读文件系统,但存在一些读写异常,是否更安全?
在kubernetes中,您可以为容器设置“readOnlyRootFilesystem:true”,以使容器的文件系统为只读,从而使其更加安全 但是,在我的特定情况下,我的应用程序仍然需要写入一些文件,因此我需要为某些特定路径添加一些读写卷装载Security 如果kubernetes吊舱具有只读文件系统,但存在一些读写异常,是否更安全?,security,kubernetes,Security,Kubernetes,在kubernetes中,您可以为容器设置“readOnlyRootFilesystem:true”,以使容器的文件系统为只读,从而使其更加安全 但是,在我的特定情况下,我的应用程序仍然需要写入一些文件,因此我需要为某些特定路径添加一些读写卷装载 现在我的问题是:如果我在设置中引入这些可写位置,那么从安全角度看,如果文件系统的其余部分是只读的,这真的会有所不同吗?是的,容器中的主文件系统是只读的,而特定位置(例如日志或临时文件)通常是读写的,提高容器的整体安全性 攻击者试图从外部破坏您包含的应用
现在我的问题是:如果我在设置中引入这些可写位置,那么从安全角度看,如果文件系统的其余部分是只读的,这真的会有所不同吗?是的,容器中的主文件系统是只读的,而特定位置(例如日志或临时文件)通常是读写的,提高容器的整体安全性 攻击者试图从外部破坏您包含的应用程序,很可能不知道哪些目录是读写的,因此很难将其有效负载放到磁盘上
无论如何,这都不是一个完美的防御,但是它是一个很好的安全层,如果您知道哪些目录需要读写,这是一个相对简单的实现步骤。欢迎使用!我建议您添加更多关于您具体情况的详细信息,以避免这是一个更基于意见的问题。是否存在与您相关的特殊安全问题?有关写作问题的建议,请参阅。