Dockerコンテナーでの接続または実行を防ぐ方法

ビルド済みのDockerコンテナーのユーザーが、そのコンテナーの実行中のインスタンス内のシェルにアクセスできないようにするにはどうすればよいですか？私はググって、このシナリオに関連するすべての投稿を読み、実用的な解決策なしに出てきました。コンテナ内の特定のリソースへのアクセスを防止しようとしています。この問い合わせのために、構成ファイル内のシリアル番号を考えてみましょう。私は、ubuntuイメージに基づくjava：7イメージに基づいて構築しています。

ソリューションをテストするには、次の手順を実行します。

1. Dockerコンテナーを作成して実行する

2. コンテナをエクスポートする

   docker export [コンテナー名] | gzip -c> mycontainer.tar.gz

3. 外部システムにコンテナーをインポートする

   gzip -dc mycontainer.tar.gz | Dockerインポート-[コンテナ名]

4. コンテナーを実行する

5. 次の方法のいずれか/すべてを使用して、実行中のコンテナにシェルします。

   docker exec -it [コンテナ名] bash

   docker attach [コンテナ名]

   docker run -ti --entrypoint = / bin / bash [コンテナ名]

[コンテナ名]はコンテナの名前です

bash、dash、およびshはすべて有効なシェルです

特にbashコマンドについては、.bashrcファイルにファイルのexit最後にコマンドを追加したので、ユーザーはログインして最終的にキックアウトしましたが、ユーザーは引き続きshコマンドを使用できます。

ホセの答えに追加するには、別の解決策は...

docker exec :id -it /bin/rm -R /bin/*

これにより、shとlinuxの便利なコマンドがすべて削除されます。その時点でコンテナーに入るために何をするかわかりません。実行中のコンテナーの環境変数を取得するためにメモリデバッガーを使用できる場合があることはわかっていますが、それにより、非常に煩わしくなります...リング0でそのメモリをロックダウンして削除する方法があるのでしょうか。ホストへのsshアクセス。

誰かがそれを解く方法を知っているなら、私はその方法を知ることに興味があります。

編集

機密情報を保護する場合は、Dockerシークレットを使用します。チェックアウト：

https://docs.docker.com/engine/swarm/secrets/

保護したい情報がシリアル番号である場合、その情報を暗号化することが唯一の確実な保護方法です。秘密データを暗号化するさまざまな方法を選択できます。強力なキーを使用していることを確認してください。また、アプリケーションにシークレットデータをサーバーに送信させてその有効性を識別させ、サーバーからの応答に基づいてアプリが動作を継続するか、メッセージを停止して表示することもできます。

簡単に言うと、常にアプリケーションを完全かつ徹底的に分析できると想定してください。強力な鍵を使用してすべての秘密および重要なデータを常に暗号化するため、鍵の解読には非常に長い時間がかかります（暗号化アルゴリズムが公開されているか、よく知られていると仮定します）。

たとえそれをする方法を見つけたとしても、単独でアクセスを防止することは、誤った安心感を与えるだけです。