Vous êtes ici : Formations en Ligne Gratuites » Catalogue » workbooks » DOF200 - Présentation de la Formation » DOF204 - Gestion de la Sécurité de Docker

Différences

Ci-dessous, les différences entre deux révisions de la page.

Lien vers cette vue comparative

--- elearning:workbooks:docker2:drf03 [2021/04/15 05:09] – admin
+++ elearning:workbooks:docker2:drf03 [2021/12/29 10:32] (Version actuelle) – admin
@@ Ligne 2: / Ligne 2: @@
 ~~PDF:LANDSCAPE~~
-Version : **2021.01**
+Version : **2022.01**
 Dernière mise-à-jour : ~~LASTMOD~~
@@ Ligne 558: / Ligne 558: @@
 <WRAP center round important 60%>
-**Important** : Notez l'utilisation du caractère **-** à la fin de la ligne. Celui-ci indique à la commande **docker secret** de lire le conteu du secret pg_user à partir de l'entrée standard.
+**Important** : Notez l'utilisation du caractère **-** à la fin de la ligne. Celui-ci indique à la commande **docker secret** de lire le contenu du secret pg_user à partir de l'entrée standard.
 </WRAP>
@@ Ligne 568: / Ligne 568: @@
 lpk8eq80qvfiqw7z1686fmj5t   pg_user                                 About a minute ago   About a minute ago
 </code>
+<WRAP center round important 60%>
+**Important** : Notez que la colonne **DRIVER** est vide. Ceci indique que le gestion des secrets est accomplie par Docker lui-même au lieu d'être déléguée à un plugin tiers.
+</WRAP>
 Créez maintenant les secrets **pg_password** et **pg_database** :
@@ Ligne 577: / Ligne 581: @@
 lx4zydpfocwgpdto0yy1jod9
 </code>
+<WRAP center round important 60%>
+**Important** : Notez qu'un secret Docker est immuable.
+</WRAP>
 Vérifiez la prise en compte de vos commandes :
@@ Ligne 611: / Ligne 619: @@
 **Important** : On peut constater dans la sortie de cette commande la valeur **CreatedAt** qui correspond à la date de création du secret ainsi que **UpdatedAt** qui correspond à la date de modification du secret.
 </WRAP>
+L'option **--pretty** de la commande fait apparaître ces informations plus clairement :
+<code>
+root@manager:~/postgres# docker secret inspect --pretty pg_database
+ID:              5lx4zydpfocwgpdto0yy1jod9
+Name:              pg_database
+Driver:
+Created at:        2021-04-15 03:49:36.344367554 +0000 utc
+Updated at:        2021-04-15 03:49:36.344367554 +0000 utc
+</code>
 Créez maintenant le fichier compose **postgres-secrets.yaml** :
@@ Ligne 658: / Ligne 677: @@
 </file>
-La dernière section spécifie que les secrets sont externes :
+La dernière section spécifie que les secrets sont **externes** :
 <file>
@@ Ligne 669: / Ligne 688: @@
     external: true
 </file>
+<WRAP center round important 60%>
+**Important** : Le terme **externe** indique que les secrets ne seront pas stockés dans l'image construite mais **uniquement** dans le conteneur créé.
+</WRAP>
 Déployez maintenant le service en utilisant la commande **docker stack** :
@@ Ligne 682: / Ligne 705: @@
 <WRAP center round important 60%>
-**Important** : Notez a présence de l'erreur **Ignoring unsupported options: restart**. Cell-ci est due au fait que la directive **restart** est compatble avec la commande **docker-compose** mais pas avec la commande **docker stack**. La directive qui aurait du être utilisée dans le fichier est **restart_policy:**.
+**Important** : Notez a présence de l'erreur **Ignoring unsupported options: restart**. Celle-ci est due au fait que la directive **restart** est compatible avec la commande **docker-compose** mais pas avec la commande **docker stack**. La directive qui aurait du être utilisée dans le fichier est **restart_policy:**.
 </WRAP>
@@ Ligne 1117: / Ligne 1140: @@
 ====7.1 - [WARN] 4.1  - Ensure a user for the container has been created====
-Les processus dans le conteneur **root-nginx** tourne sous l'UID de root. Ceci est l'action par défaut de Docker.
+Les processus dans le conteneur **mysql** tourne sous l'UID de root. Ceci est l'action par défaut de Docker.
 Pour plus d'informations, consultez cette **[[https://docs.docker.com/engine/security/security/|page]]**.
@@ Ligne 1959: / Ligne 1982: @@
 ]
 </code>
+<WRAP center round important>
+**Important** : Il existe un autre mécanisme de signatures cryptographiques qui permet de certifier le contenu des images mises à disposition sur une Registry. Appelé **Notary**, ce système a été développé par la communauté Docker et intègre une partie de la spécification de **[[https://theupdateframework.io/|The Update Framework]]** (TUF). Pour plus d'informations, consultez cet **[[https://blog.octo.com/la-signature-dimages-docker-sur-une-registry-avec-notary/#:~:text=Notary%20est%20un%20m%C3%A9canisme%20de,environnement%20de%20production%20par%20exemple|article]]**.
+</WRAP>
 =====LAB #10 - Sécurisation du Socket du Daemon Docker=====
@@ Ligne 2253: / Ligne 2280: @@
 </code>
-Lancez la commande **docker version** sur la VM **docker91** :
+Lancez la commande **docker version** sur la VM **debian91** :
 <code>
@@ Ligne 2325: / Ligne 2352: @@
 -----
-<html>
-<div align="center">
+Copyright © 2022 Hugh Norris.
-Copyright © 2021 Hugh NORRIS
-</div>
-</html>

Piste : • LRF407 - System Hardening • LRF403 - Authentification • SER405 - Administration et Maintenance • LRF408 - Sécurité Applicative • SER406 - Sauvegardes et Replication • RH12400 - Préparation à la Certification RH124 • BDF101 - Ajouter un Hôte et des Services à un Cluster HDP Existant • SO105 - La Ligne de Commande • SER504 - Déploiement et Gestion des Applications • LRF404 - Balayage des Ports

Différences

Recherche

Imprimer/exporter

Menu