Ну а вот так, какой профит в env переменных еще ?

в отличие от конфига.

Реально профит в том, что когда исходники у тебя с сервера спиздят, то паролей от баз данных там не будет.

ой.

Ни паролей, ни хостов.

сухяли блять

cat /proc/pid/environ

и читай скока влезет

В исходниках я имею ввиду.

если ломают твое приложение, то оно само сможет уж их прочитать

ты сказал с сервера

Ну а где ще исходники то будут лежать? Не на сервере?

если твое приложение запущено на сервере, есть места откуда можно стащить всю эту инфу

Есть

или ты про какой сервер ? ) про гитхаб чтоли ? )

или то где билдится все ?

Но это тоже самое что оставить 2 велосипеда. Один дорогой со сложным замком, другой похуевве но с более простым. Там вот спиздят тот, что похуже.

Потому что проще.

А когда что то крадут, особо не разбираются.

Конфиги на паблик гитхаб... Дело!

аха )

99% в мире держат пароли в файлах

100% чувак )

Ну вот consul.. А можно даже vault

Ну короче это детали. Суть в том что когда кто то шерстит на сервере, и сходу не обнаружит креденшелов в файлах врятли будет их искать где то еще.

Но опять же, да. Я не говорю что он совсем не станет... Все относительно.

как это называется...

security by obscurity ?

помоему это нифига не секурити.

Да.

Так а здесь кто говорил о секюрити то?

Я писал о том что если сорцы сольют, то паролей не будет.

Не более.

а типа получение доступа к серверу, и слив втихаря сорцов это типа вполне себе санцкионированное действие ?

Прочитай еще раз про велосипеды.

помоему аналогия с велосипедами работает только для тех случаев когда тебя сломали брутом по словарю из 100к паролей, а потом пробежалиь по "основным местам с конфигами". И если так оно и есть то как бы ссзб.

Да случаев может быть миллон.

Начиная от того что разработчик ракоммитил бажный код и кто то багу нашел и залил шелл

ну тут сливай воду сразу.

без разницы где у тя пароли )

в энве или в файле

Так так обычно и бывает

чувак способный налить багу и способный залить шел, и способный найти файл с конфигами. легко посмотрит в ENV

Редко кто получает полноценный shell на сервер.

и поищет там какие нить токены

Может. Но скорее он сольет все сорцы чтобы делать это оффлайн и не быть запаленым.

Дальше все зависит от тебя, как быстро ты обнаружишь проникновение.

это вот твои "а скорее всего", так же как и ребят писавших 12факторов. Слишком много условностей и допущений.

Добро пожаловать в реальную жизнь, а не докер контейнер.

лол)

хм

сподвигаете на тему доклада по безопасности серверов с контейнерами? 😊

Контейнер (LXC например) вообще не гарантирует безопасность.

http://www.slideshare.net/jpetazzo/docker-linux-containers-lxc-and-security

"вот это поворот !" (с)

ты сейчас себя таким колумбом видишь а мы такие туземцы да ? )

Просто зачем еще один доклад?

О том же.

а.

так то, обсосано.

ня?

колумбы, безопасность любой штуки начинается с человека

еще один )

Но послушайте

после беглого просмотра одним глазом последнего DC7499 полторы недели назад (или уже две) я йотой вообще пользоваться не буду

ENV это плоское неиерархическое пространство

Крайне неудобное

Для паролей есть vault

запихни в строку хэш, чо ты будь мужиком )

запихни в строку хэш, чо ты будь мужиком )

Началось

ой всё, у меня обед

а потом докеры ломать

это был сарказм, еси чо.

ENV это плоское неиерархическое пространство

А зачем там хранить что-то иерархичное? Можно пример?

плоское неирархичное можно же префиксами в имени превратить в иерархичное профит в иерархичности , для начала, общий - когда много tunables - надо как-то организовывать, чтоб легче находить

а вот такой вопрос позвольте

допустим я хочу cfg mgmt иметь чтоб cfg changes были trackable откатывать легко и тп

тут запихивать конфиги в тот же гит репозиторий так и просится , разве нет?

Так и есть