不使用不安全的镜像仓库
描述
Docker
在默认情况下,私有仓库被认为是安全的
隐患分析
镜像仓库建议使用TLS
。 在/etc/docker/certs.d/<registry-name>/
目录下,将镜像仓库的CA
证书副本放置在Docker
主机上。
不安全的镜像仓库是没有有效的镜像仓库证书或不使用TLS
的镜像仓库。不应该在生产环境中使用任何不安全的镜像仓库。
不安全的镜像仓库中的镜像可能会被篡改,从而导致生产系统可能受到损害。
此外,如果镜像仓库被标记为不安全,则docker pull
,docker push
和docker push
命令并不能发现,
那样用户可能无限期地使用不安全的镜像仓库而不会发现。
审计方式
[root@localhost ~]# cat /etc/docker/daemon.json |grep insecure-registries
"insecure-registries":["gcr.azk8s.cn","dockerhub.azk8s.cn","quay.azk8s.cn","5twf62k1.mirror.aliyuncs.com","registry.docker-cn.com","registry-1.docker.io"],
修复建议
使用ssl
签名的镜像仓库(如配置ssl
证书的harbor
)
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档