docker能做到這種權限控制嗎?
目前專案用到了一個第三方的軟體,提供了很多指令。我們做的事情就是將這些命令開放成restful服務,供各系統使用。
有一個需求:要將一些危險的命令過濾掉,主要都是一些"寫"命令,比如Export,就是導出一個資料到某個目錄。 "ClearAttribute"清除某個系統屬性(不是寫指令)。
當使用者請求中包含此類的命令,直接403
我們目前的做法是 黑/白 名單,但是太麻煩了,經常要添加新命令,也有被錯殺掉的。
我在想這種場景把這個服務做到容器裡面,然後對整個容器做權限控制。是不是可以解決?
從來沒弄過docker,不知道適不適合這麼搞。
網上有人說可以用sandbox弄,搜了下sandbox和docker區別,也沒弄清楚。
