Безопасность пароля по умолчанию MySQL в Docker

Question

В настоящее время я немного играю с MySQL в Docker и спрашиваю себя, как обработать (root) пароль.Контейнер не будет доступен извне (без переадресации портов на хост), а только изнутри сети Docker (Docker Compose).

С моей текущей точки зрения я могу просто использовать пароль по умолчанию / простой пароль в качестве mysqlсервер не будет доступен, кроме как изнутри Docker, и любой, кто имеет доступ к Docker, в любом случае имеет права root (по крайней мере, как root) (следовательно, имеет доступ к базе данных в любом случае, например, путем прямого доступа к файлам).Это правильно или я что-то упустил?

Answer 1

Я бы на это не рассчитывал!Например, если в какой-то момент у вас был установлен веб-сервер, использующий его для предоставления приложения, такого как, например, phpMyAdmin, было бы легко атаковать вашу базу данных.

В большинстве случаев вектор атаки - это не сама служба, а другиеприложения, использующие его, и, таким образом, выставляющие сервис, phpMyAdmin является очень хорошим примером imo.Другим примером могут быть SQL-инъекции, и если злоумышленник получит доступ к вашей корневой учетной записи MySQL, он получит доступ к вашей файловой системе.В связи с этим я бы порекомендовал вам ознакомиться с MySQL Security Guidelines .Таким образом, вы всегда должны использовать безопасный пароль, особенно для пользователей с привилегиями GRANT, FILE или PROCESS.

Если у вас установлена ​​ОС Debian или другая ОС на основе Debian, вы можете легко получить доступ к базе данных.в оболочке, используя пользователя debian-sys-maint, например:

# mysql --defaults-file=/etc/mysql/debian.cnf

, который дает вам доступ с правами root без запроса пароля.

Надеюсь, это поможет, обеспечьте безопасность!