Как мы можем безопасно использовать rails и better_errors в среде докеров?

Question

Я знаю, что мы не можем использовать better_errors от не localhost по умолчанию.

Если мы хотим использовать better_errors в среде докера, мы можем использовать BetterErrors::Middleware.allow_ip! '0.0.0.0/0'.

Но у него есть угроза безопасности. Если злонамеренный пользователь получает доступ к вашему хост-компьютеру в той же сети, и приложение rails случайно выдает ошибку, он может сделать все, что может сделать приложение rails (например: украсть весь исходный код).

Есть ли идея справиться с угрозой безопасности?

Answer 1

2 вещи:

1. Это следует использовать только в среде разработки, поэтому такая угроза безопасности будет иметь место только при разработке кода, она не должна влиять на ваш производственный / промежуточный сервер.
2. Вы можете использовать предопределенные подсети docker:

  # Private subnets defined by RFC1918 as stated in https://docs.docker.com/v1.5/articles/networking/
  BetterErrors::Middleware.allow_ip! '10.0.0.0/8'
  BetterErrors::Middleware.allow_ip! '172.24.0.1/12'
  BetterErrors::Middleware.allow_ip! '172.16.0.0/12'
  BetterErrors::Middleware.allow_ip! '192.168.0.0/16'

, которые должны ограничивать количество IP-адресов, имеющих доступ к самой машине.