[docker] docker 安全知识 - 镜像,port registry

news2024/12/28 3:46:00

[docker] docker 安全知识 - 镜像,port & registry

这是第一篇,安全部分还有一篇笔记就记完了

说实话,看完了要学的这些东西,感觉大多数安全问题都可以通过验证登录的合法性去解决

镜像

镜像的问题还是比较多的,主要问题也是集中在:

  • 镜像的可变性

    这是针对使用了 恶意镜像(malicious images) 这一情况

  • 镜像的不可变性

    这是针对当前镜像使用了 不安全的镜像(images with vulnerabilities) 这一情况

  • 镜像的 layer 结构

    这个是 docker 为了在建造镜像的过程中提速而实现的缓存机制,从而可能会导致信息被嵌入 layer 中,从而被暴露——只要获取镜像,就能够查看所有的 layers

需要注意,恶意镜像和不安全的镜像二者有这本质的区别:

前者是黑客 有意 嵌入具有攻击性的代码,从而威胁到镜像的安全性

后者是开发 无意 实现的 bug

恶意镜像

一般来说正常下载镜像的时候都会使用镜像名+tag 的方式,如果只是想拉一个最新版本,那么也会忽略 tag,如:

docker run node
Unable to find image 'node:latest' locally
# automically pull the latest version from docker hub
latest: Pulling from library/node
609c73876867: Downloading [========================>                          ]  24.25MB/49.56MB
7247ea8d81e6: Download complete
be374d06f382: Download complete
b4580645a8e5: Downloading [==>                                                ]  10.19MB/211.1MB
dfc93b8f025c: Waiting
a67998ba05d7: Waiting
9513f49617f6: Waiting
e2a102227dc6: Waiting

或者是用 docker-compose:

server:
  image: "nginx:stable-alpine3.17"
  ports:
    - "8000:80"
  volumes:
    - ./src:/var/www/html:delegated
    - ./nginx/nginx.conf:/etc/nginx/conf.d/default.conf:ro

乍一看好像没什么问题,但是如果跑过几次 docker build 的话就会注意到一件事情——镜像+tag 这一组合,其实是可以包含不同的镜像的,如:

docker build -f image.dockerfile  -t image-vulnerability .
# 省略步骤若干
 => [5/5] RUN rm /root/.ssh/id_rsa                                                                                                                                            0.2s
 => exporting to image
 => => exporting layers                                                                                                                                                       0.0s
 => => writing image sha256:1a32b91cf2968f0431c6b357b91f0af97c3ad20a4243743fc830f38eb6e3d769                                                                                  0.0s
 => => naming to docker.io/library/image-vulnerability

 ❯ docker build -f image.dockerfile  -t image-vulnerability .
 # 省略步骤若干
[+] Building 0.4s (11/11) FINISHED                                                                                                                            docker:desktop-linux
 => [internal] load build definition from image.dockerfile                                                                                                                    0.0s
 => [6/6] RUN echo "build completed"                                                                                                                                          0.1s
 => exporting to image                                                                                                                                                        0.0s
 => => exporting layers                                                                                                                                                       0.0s
 => => writing image sha256:2ffc6854752a07eb98cf5f83c775bb79b9d39ee50a1713037248b679d5af1031                                                                                  0.0s
 => => naming to docker.io/library/image-vulnerability

这里我重新修改了一下 Dockerfile,所以运行的结果会不一样,打包的 image 不一样:

  • 前者的 id 为 sha256:1a32b91cf2968f0431c6b357b91f0af97c3ad20a4243743fc830f38eb6e3d769
  • 后者的 id 为 sha256:2ffc6854752a07eb98cf5f83c775bb79b9d39ee50a1713037248b679d5af1031

但是二者共享的是一个镜像名,即 image-vulnerability:latest,如果只是拉去 image-vulnerability:latest,那么无法判断使用的究竟是哪一个镜像。因此,这里的情况就是:

如果黑客获取了 repository 的权限,并且覆盖上传了恶意镜像,在 黑客上传了恶意镜像管理员发现问题删除恶意镜像 这个时间段之间,就有可能会下载到恶意镜像

对于恶意镜像比较常见的处理方式有:

  • 选择验证过的镜像
  • 选择 docker content trust 镜像
  • 选择不可变的 hash 值去下载镜像

以 docker hub 为例,尽量选择官方支持/验证的镜像:

在这里插入图片描述

在这里插入图片描述

使用有漏洞的镜像

这里有漏洞的镜像可以被两个组件使用:

  • docker 镜像本身

    如使用 Node 作为基础镜像去搭建服务器

  • 应用软件

    如一个前后端项目,前端向使用有问题镜像的服务器发送请求

尽管不是所有的漏洞都会被黑客攻击,还是需要了解所使用的镜像包含哪些漏洞,以及根据漏洞等级进行对应的更新

监狱 docker 镜像的不可变性,每一次的更新都会比较具有挑战性,因为需要更新

  • 使用有漏洞镜像的容器

    包括 dockerfile(更新镜像 A),以及重新打包容器

  • 所有和对应容器有依赖关系的容器

    还是因为容器的不可变性,无法做到更新了 A,让所有与 A 有引用关系的容器都自动更新

    所以这里需要重新打包所有基于 A 的容器

secret

之前在一篇笔记里提到可以使用 ARG 而非 ENV,不过很不幸地发现,使用 ARG 也不保险。一般常遇到的情况可能有两个:

  • 直接使用 ARG 明文

    这种情况使用 ENVARG 没区别,一样直接通过 docker inspect 就能看到明文信息

    ⚠️:Docker 17.07 之前 ARG 是会明文显示在打包历史中的,之后的版本尽管移除了这个设定,使得 ARG 的安全性有了提升,不过任何 secrets(密钥相关) 最好还是不要用 ARG 写入 docker 镜像中。不当使用依旧会造成 secrets 被写入 docker layers 中,从而使得密钥可以被所有人访问

  • ARG 写入文件,再删除掉文件

    下面的案例就是写入文件的问题——这里不一定需要使用 ARG ,任何情况的写入,包括使用 COPY 都会造成这个问题

下面是不当设置密钥的 dockerfile:

FROM node:20-alpine

WORKDIR /app

RUN mkdir -p /root/.ssh

COPY id_rsa /root/.ssh/id_rsa

RUN rm /root/.ssh/id_rsa

这里从当前文件夹复制了一个密钥文件,之后执行了一些操作,最终再删除这个密钥

下面是用 dive 简单地进行了一个命令行的可视化,让案例讲解变得简单一些

在某一层 layer 中可以清楚地看到执行的操作是 COPY id_rsa /root/.ssh/id_rsa

在这里插入图片描述

这个时候就可以下载这个镜像,在 本地 打包,构筑一个容器,再使用下面的指令,以管理员的全选对容器进行操作:

docker run -it --privileged --pid=host image-vulnerability nsenter -t 1 -m -u -n -i sh

下面这个截图就是从 overlay2 中获取 id_rsa 的方法了:

在这里插入图片描述

👀 最后一行,通过 cat 指令可以轻松获取已经被删除的 id_rsa 文件,这也是因为 overlayer2 的实现,所有的 COPYFUNDELETE 操作都是在底层的只读层,而这些只读层是会被持久化的。换言之,文件看起来可能像是被删除了,但是因为这个操作被持久化了,所以还是可以在 overlayer2 找到被删除的文件

这里的使用方法是使用 --mount, -ssh--secret

使用方法如下:

RUN --mount=type=ssh git clone git@github.com:user/repo.git

这种情况下,docker 会使用宿主机器上的 SSH 配置去下载 repo


docker build --ssh default=id_rea .

这种情况下,docker 也会使用宿主机器上的 SSH 配置去下载 repo


❯ docker build --secret id=mysecret,src=mysecret.txt .

这种用法更多,可以传更多的 secret 而不是只有 SSH

暴露端口

docker 容器的 network 设置其实挺复杂的,默认情况下是 bridge,这种也是用的比较多的情况,但是 network 的类型总共是有 6 种。除了 None 是彻底关闭容器的端口,不需要予以考量之外,其他的 networking 连接方式总是会涉及到 docker 容器的网络配置与宿主机器的网络配置

最简单的可能涉及到端口冲突,比如说 docker 想使用宿主机器上 3000 的端口,不过宿主机器上已经有一个进程占用了 3000,其他更加复杂的情况,鉴于我也不是 network engineer,这里就不过多涉及了

总之简单来说,如果 dockerfile 没有配置好的话,那么就有可能会引起安全问题,其中一个比较常见的情况是未授权访问的情况

一个简单的案例描述如下:

某产品可能使用了 phpMyAdmin 进行 debug,但是在生产环境下,因为没有配置好 dockerfile 使得 phpMyAdmin 的端口暴露了。黑客使用了一些软件,比如说 Nmap,查看了所有连接到当前网址的端口,如:

在这里插入图片描述

这个情况下,phpMyAdmin 与当前网址的连接端口就会被暴露了,黑客如果访问了这个端口,并且 phpMyAdmin 又没有设置防护,或是防护加密等级比较低,那么就代表着生产环境的数据就全都暴露在了黑客的眼皮子底下

这种情况下的解决方案也比较简单:

  • 生产环境的配置文件一定需要再三检查
  • 如非必需,不要暴露端口
  • 如果必须要暴露端口,那么使用加密登陆的方式

⚠️:配置是很重要的,暴露端口的 flag 是 -p,但是同样还有一个 --publish-all 的 flag。使用这个 flag 会保证所有在 dockerfile 中声明的 EXPOSE 端口会被 自动随机 地 map 到宿主机器上的任意端口

虽然感觉是很方便的配置,不过也增加了不可预测性。因为端口是随机配置的,所以对宿主机器上的防火墙配置也有更高的挑战,如果没有配置好,那么也会暴露出更多的安全问题

docker registry

registry 的安全也是可能出现的漏洞之一,如上文提到的恶意镜像,如果黑客没有权限访问到 registry,那么自然也无法下载恶意镜像,从而规避了风险

registry 中,最知名的公开 registry 是 docker hub(也就是官方),对于私有 registry,那么选择就比较多了

下面是使用 nexus 去建立了一个 registry,并且 curl 了一下所有的 docker 镜像,与 curl 一下 docker hub 官方镜像的对比:

curl http://localhost:8081/repository/docker-private-repo/v2/_catalog
{"repositories":[]}%

# 对比 docker hubcurl Https://index.docker.io/v2/_catalog
{"errors":[{"code":"UNAUTHORIZED","message":"authentication required","detail":[{"Type":"registry","Class":"","Name":"catalog","Action":"*"}]}]}

可以看到,curl nexus 的时候不需要任何的验证,直接就返回所有的 repositories,对比 curl docker hub,则是需要验证才能够获取所有的镜像

⚠️:我这里只是新建了一个 nexus 服务器和对应的 docker repository,并没有上传任何镜像,所以返回的结果是空数组:

在这里插入图片描述

如果里面真的有镜像的话,那么就会返回所有的镜像,那么这个时候,就可以根据 http://localhost:8081/repository/docker-private-repo/image-name 这样的路径去下载镜像,检查镜像,然后再上传镜像,从而触发 恶意镜像 这个安全隐患

就算实现了一些基础的验证,让黑客无法上传被修改的镜像,但是黑客也可以尝试下载所有的镜像,导致 DoS(Denial of Service)……毕竟会对 registry 添加 load balancer 的操作,还蛮少见的……正常访问都不会触发这种问题

解决方法也挺简单的:

  • 验证,验证,还是验证

    authentication 真的可以解决七八成的网络安全问题……

  • 添加 TLS

  • 权限管理

    即 authorization,确认只有对应权限的人才分别具有 CRUD 等不同的操作权限


讲道理,docker 的报错 icon 还蛮可爱的……

在这里插入图片描述

reference

  • Content trust in Docker

  • dive

  • Nmap

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处:http://www.coloradmin.cn/o/1704679.html

如若内容造成侵权/违法违规/事实不符,请联系多彩编程网进行投诉反馈,一经查实,立即删除!

相关文章

数学建模--LaTeX的基本使用

目录 1.回顾 2.设置这个页眉和页脚 3.对于字体的相关设置 4.对于这个分级标题的设置 5.列表的使用 6.插入图片 1.回顾 (1)昨天我们了解到了这个latex的使用基本常识,以及这个宏包的概念,区域的划分,不同的代码代…

05.配置tomcat管理功能

认证失败&#xff0c;需要配置tomcat-users.xml文件 配置用户信息 [rootweb01 /application/tomcat/conf\]# tail tomcat-users.xml <role rolename"admin-gui"/> <role rolename"host-gui"/><role rolename"mana…

图解 Transformer

节前&#xff0c;我们星球组织了一场算法岗技术&面试讨论会&#xff0c;邀请了一些互联网大厂朋友、参加社招和校招面试的同学. 针对算法岗技术趋势、大模型落地项目经验分享、新手如何入门算法岗、该如何准备、面试常考点分享等热门话题进行了深入的讨论。 汇总合集&…

React(4): 使用 unocss + react-ts + vite 开发

React(4): 使用 unocss react ts 开发 之前一直使用 css-module 开发页面&#xff0c;觉得太过繁琐&#xff0c;看到 unocss , 眼前一亮&#xff0c;觉得可以拿来快速开发页面&#xff08;偷懒&#xff09; vite官网 unocss tailwindcss 说明 该方法需要对 tailwindcss 有一…

多态(难的起飞)

注意 virtual关键字&#xff1a; 1、可以修饰原函数&#xff0c;为了完成虚函数的重写&#xff0c;满足多态的条件之一 2、可以菱形继承中&#xff0c;去完成虚继承&#xff0c;解决数据冗余和二义性 两个地方使用了同一个关键字&#xff0c;但是它们互相一点关系都没有 虚函…

c++ 将指针转换为 void* 后,转换为怎么判断原指针类型?

当将指针转换为void后&#xff0c;擦除了指针所指向对象的类型信息&#xff0c;因此无法通过void指针来判断原始指针的类型。我这里有一套编程入门教程&#xff0c;不仅包含了详细的视频讲解&#xff0c;项目实战。如果你渴望学习编程&#xff0c;不妨点个关注&#xff0c;给个…

每日一题 <leetcode--2326.螺旋矩阵>

https://leetcode.cn/problems/spiral-matrix-iv/ 函数中给出的int* returnSize和int** returnColumnSizes是需要我们返回数值的&#xff0c;这点需要注意。其中int** returnColumnSizes 是需要额外开辟一块空间。 这道题我们首先需要malloc出一快空间来把链表存放在数组中&…

指纹识别经典图书、开源算法库、开源数据库

目录 1. 指纹识别书籍 1.1《精通Visual C指纹模式识别系统算法及实现》 1.2《Handbook of Fingerprint Recognition》 2. 指纹识别开源算法库 2.1 Hands on Fingerprint Recognition with OpenCV and Python 2.2 NIST Biometric Image Software (NBIS) 3. 指纹识别开源数…

QQ名片满级会员装x助手HTML源码

源码介绍 QQ名片满级会员展示生成HTML源码&#xff0c;源码由HTMLCSSJS组成&#xff0c;双击html文件可以本地运行效果&#xff0c;也可以上传到服务器里面&#xff0c;保存素材去选择QQ个性名片-选择大图模板-把图上传照片墙即可 源码效果 源码下载 蓝奏云&#xff1a;http…

Golang | Leetcode Golang题解之第116题填充每个节点的下一个右侧节点指针

题目&#xff1a; 题解&#xff1a; func connect(root *Node) *Node {if root nil {return root}// 每次循环从该层的最左侧节点开始for leftmost : root; leftmost.Left ! nil; leftmost leftmost.Left {// 通过 Next 遍历这一层节点&#xff0c;为下一层的节点更新 Next …

VS Code开发Python配置和使用教程

在Visual Studio Code (VSCode) 中配置和使用Python进行开发是一个相对直接的过程&#xff0c;下面是一份简明的指南&#xff0c;帮助你从零开始设置环境&#xff1a; 1. 安装Visual Studio Code 首先&#xff0c;确保你已经安装了Visual Studio Code。如果还没有安装&#x…

入门编程,一定要从C语言开始吗?

入门编程并不一定非得从C语言开始。我这里有一套编程入门教程&#xff0c;不仅包含了详细的视频讲解&#xff0c;项目实战。如果你渴望学习编程&#xff0c;不妨点个关注&#xff0c;给个评论222&#xff0c;私信22&#xff0c;我在后台发给你。 C语言在过去是一种常见的入门语…

《python编程从入门到实践》day40

# 昨日知识点回顾 编辑条目及创建用户账户 暂没能解决bug&#xff1a; The view learning_logs.views.edit_entry didnt return an HttpResponse object. It returned None instead.# 今日知识点学习 19.2.5 注销 提供让用户注销的途径 1.在base.html中添加注销链接 …

基于OrangePi AIpro的后端服务器构建

一. OrangePi AIpro简介 1.1 OrangePi AIpro外观 1.2 OrangePi AIpro配置 OrangePi AIpro(8T)采用昇腾AI技术路线&#xff0c;具体为4核64位处理器AI处理器&#xff0c;集成图形处理器&#xff0c;支持8TOPS AI算力&#xff0c;拥有8GB/16GB LPDDR4X&#xff0c;可以外接32GB…

边境牧羊犬优化算法,原理详解,MATLAB代码免费获取

边境牧羊犬优化算法&#xff08;Border Collie Optimization&#xff0c;BCO&#xff09;是一种受自然启发的群智能优化算法。该算法是通过模仿边境牧羊犬的放牧风格来开发的。本文成功地采用了边境牧羊犬从正面和侧面的独特放牧风格。在这个算法中&#xff0c;整个种群被分成两…

实现 Vue 标签页切换效果的组件开发

在本次开发中&#xff0c;我们将实现一个 Vue 组件&#xff0c;用于展示和切换标签页。 背景有移动动画效果 该组件将具有以下功能&#xff1a; 标签页左右滚动点击标签页切换内容关闭指定标签页支持多种标签页风格 以下是实现该组件的具体步骤&#xff1a; 创建 Vue 组件…

esp8266的rtos和nonos区别

https://bbs.espressif.com/viewtopic.php?t75242#p100294 https://blog.csdn.net/ydogg/article/details/72598752

Function Calling学习

Function Calling第一篇 Agent&#xff1a;AI 主动提要求Function Calling&#xff1a;AI 要求执行某个函数场景举例&#xff1a;明天上班是否要带伞&#xff1f;AI反过来问你&#xff0c;明天天气怎么样&#xff1f; Function Calling 的基本流程 Function Calling 完整的官…

【传知代码】私人订制词云图-论文复现

文章目录 概述原理介绍核心逻辑1、选取需要解析的txt文档2、选取背景图明确形状3、配置停用词4、创建分词词典&#xff0c;主要解决新的网络热词、专有名词等不识别问题 技巧1、中文乱码问题&#xff0c;使用的时候指定使用的文字字体2、更换背景图3、词库下载以及格式转换方式…

数组单调栈-901. 股票价格跨度、leetcode

单调栈作为一种数据结构在求解类递增、递减方面的题目中有较为广泛的应用&#xff0c;在以往的leetcode中所见到的相关单调栈的题目均为单一元素&#xff0c;今天刷到901题目时&#xff0c;想到了将数组元素作为单调栈中元素的方法进行求解。 题目链接及描述 901. 股票价格跨…