描述
默认情况下,私有仓库被认为是安全的
隐患分析
镜像仓库建议使用TLS。 在/etc/docker/certs.d/<registry-name>/目录下,将镜像仓库的CA证书副本放置在Docker主机上。
不安全的镜像仓库是没有有效的镜像仓库证书或不使用TLS的镜像仓库。不应该在生产环境中使用任何不安全的镜像仓库。
不安全的镜像仓库中的镜像可能会被篡改,从而导致生产系统可能受到损害。此外,如果镜像仓库被标记为不安全,则docker pull,docker push和docker push命令并不能发现,那样用户可能无限期地使用不安全的镜像仓库而不会发现。
审计方式
[root@localhost ~]# cat /etc/docker/daemon.json |grep insecure-registries
"insecure-registries":["gcr.azk8s.cn","dockerhub.azk8s.cn","quay.azk8s.cn","5twf62k1.mirror.aliyuncs.com","registry.docker-cn.com","registry-1.docker.io"],
修复建议
使用ssl签名的镜像仓库(如配置ssl证书的harbor)
参考文档
- Docker容器最佳安全实践白皮书(V1.0)
- Docker官方文档
网友评论