在kubernetes中,您可以设置"readOnlyRootFilesystem:true";对于容器,为了使容器的文件系统只读,从而使其更加安全。
但是,在我的特定情况下,我的应用程序仍然需要写入一些文件,因此我需要为一些特定路径添加一些读写卷装载。
现在我的问题是:如果我在设置中引入这些可写位置,那么从安全角度来看,如果文件系统的其余部分是只读的,这真的有区别吗?
是的,通常情况下,将容器中的主文件系统设置为只读,并将特定位置(例如日志记录或临时文件(设置为读写,可以提高容器的整体安全性。
攻击者试图从外部危害您包含的应用程序,可能不知道哪些目录是读写的,因此很难将其有效负载放置到磁盘上。
无论如何,这都不是一个完美的防御,但它是一个很好的安全层,如果你知道哪些目录需要读写,这是一个相对简单的实现步骤。