Schützen docker Dateisystem Zugriff

Question

Wir verwenden Docker während der Entwicklung und alles funktioniert gut. Unsere Software ist in PHP geschrieben und dockert mit MySQL, Apache und vielen Frameworks und Bibliotheken.

Für einige unserer Kunden möchten wir Docker Images liefern, damit sie es testen, auswerten und verwenden können. Mit docker images müssen sie nur den Container ausführen und ein vollständig installiertes und konfiguriertes System erhalten - sehr einfach!

Aber: Wie können wir vermeiden, dass Kunden unseren Code sehen, indem sie sich einfach an den Docker anhängen oder einige Execs in den Containern erstellen?

Gibt es Techniken, um jede Art von Zugriff auf das Dateisystem innerhalb eines Containers vollständig zu sperren? Wir möchten einfach über ssh auf unsere Software zugreifen.

Answer 1

Es ist möglich, mit dem Befehl docker run fast alles über den Aufbau eines Bildes zur Laufzeit zu überschreiben. So würden sie nicht einmal exec tun müssen, könnten sie einfach cmd oder entrypoint zu bash oder was auch immer überschreiben. Immer wenn ein Kunde Ihren Code hat (sogar kompiliert/verschlüsselt/etc ...), haben Sie Ihren Code. Wenn das wirklich eine große Sache ist, denke an ein SaaS-Modell.