不使用不安全的镜像仓库

描述

Docker在默认情况下,私有仓库被认为是安全的

隐患分析

镜像仓库建议使用TLS。 在/etc/docker/certs.d/<registry-name>/目录下,将镜像仓库的CA证书副本放置在Docker主机上。 不安全的镜像仓库是没有有效的镜像仓库证书或不使用TLS的镜像仓库。不应该在生产环境中使用任何不安全的镜像仓库。 不安全的镜像仓库中的镜像可能会被篡改,从而导致生产系统可能受到损害。 此外,如果镜像仓库被标记为不安全,则docker pulldocker pushdocker push命令并不能发现, 那样用户可能无限期地使用不安全的镜像仓库而不会发现。

审计方式

[root@localhost ~]# cat /etc/docker/daemon.json |grep insecure-registries
     "insecure-registries":["gcr.azk8s.cn","dockerhub.azk8s.cn","quay.azk8s.cn","5twf62k1.mirror.aliyuncs.com","registry.docker-cn.com","registry-1.docker.io"],

修复建议

使用ssl签名的镜像仓库(如配置ssl证书的harbor

参考文档

Copyright © weiliang 2021 all right reserved,powered by Gitbook本书发布时间: 2024-04-22 16:03:42

results matching ""

    No results matching ""