docker 容器 .git 泄露问题

最新推荐文章于 2024-07-12 11:34:40 发布
最新推荐文章于 2024-07-12 11:34:40 发布
阅读量43 收藏
点赞数
文章标签: docker git 容器 运维
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Richard_LHM/article/details/133061650
版权

最近公司的安全部门在扫描系统漏洞的时候发现了我们系统的一个漏洞,通过 GitHack 进行扫描,然后download 了前端的静态文件,第一次了解这个 GitHack,有点好奇,专门找了 github 库看了一下,其实使用起来蛮简单的,官方 readme 已经详细给出了操作步骤,这里不在叙述 https://github.com/BugScanTeam/GitHack
上图是公司安全部门给出的漏洞截图

在发现上述漏洞后,立马着手排查问题,由于我们的域名是 通过公网 -> F5 -> Ng -> 服务器的。其中 公网到 F5 的VIP 是不放文件的,那么这个.git 文件只能在 Ng 和 服务器中,所以第一步就是排查 ng 机器上是否有遗漏的.git 文件。在机器上 find了一把(ng 机器 文件少),查找后没有,那么确定是在服务器上了。

由于我们的服务器是 docker 启动的,ng 直接打到 容器内部,所以定位很简单,直接进入到 容器内部去排查,发现确实有一个 .git 文件。确定好了目标,就想办法处理。

我们的发版机制是通过 Jenkins build 镜像到 target 机器上,所以问题出错 也只能在 build 环节。

在 dockerfile 文件中有如下操作:

COPY . /usr/share/nginx/html/

这里会把 build 目录下的文件全部 copy 到 nginx 代理的目录下,所以 我们只要在这里把 .git 不要 copy 到 /usr/share/nginx/html/ 就可以了
当然这里的 dockerfile 文件可以指定文件一个一个 copy,不过太麻烦了。所以我们使用 docker的 ignore 文件来处理。
在 根目录下,新建 .dockerignore 文件。

写入以下内容:

.git

重新 发版,就ok 了。

Richard_LHM
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-fastpath:仅构建一次Docker映像
01-30
在IT行业中,Docker已经成为应用程序部署和容器化的重要工具,它允许开发人员打包他们的应用及其依赖项到一个可移植的容器中,确保在任何环境中都能一致地运行。"docker-fastpath"是一个旨在优化Docker映像构建过程...
Git 不向服务器公开纯文本敏感数据
03-01
例如,在Docker容器中,可以使用`docker-compose.yml`文件中的`env_file`指令或直接在`docker run`命令中指定环境变量。 3. **使用Secrets管理**: Git服务提供商如GitHub、GitLab和Bitbucket提供了秘密管理功能,...
Docker容器安全初探
weixin_43047908的博客
12-21 1905
目录前言容器与虚拟化容器的安全机制与缺陷Docker容器安全风险攻击面负载平台容器自身网络安全风险逃逸风险镜像安全容器应用容器编排工具 前言 容器是系统虚拟化的实现技术,容器技术在操作系统层面实现了对计算机系统资源的虚拟化,通过对CPU、内存和文件系统等资源的隔离、划分和控制,实现进程间的资源使用,实现系统资源的共享。docker容器是使用最广、也是最具代表性的容器,这篇文章就来简单探讨docker容器的安全性,学习docker容器的风险与攻击面。 容器与虚拟化 虚拟化(Virtualization)和容
docker-compose.yml 语法说明
小人物也有大梦想
01-20 1047
docker-compose.yml 语法说明 YAML模板文件语法 默认的模板文件是docker-compose.yml,其中定义的每个服务都必须通过image指令指定镜像或build指令(需要Dockerfile)来自动构建。 其他大部分都跟docker run 中类似。 如果使用build指令,在Dockerfile中设置的选项(例如:CMD,EXPOSE,VOLUME,ENV等)将自动被获取,无需在docker-compose.yml中再次被设置。 1、image 指定为镜像名称或镜像ID。如果镜像
Docker:(九)compose容器编排工具
qq_44239779的博客
10-23 260
compose前身是Fig,是一个用于定义及允许多个Docker容器的工具,主要是通过一个YAML文件进行服务配置使用Docker Compose不再需要使用Shell脚本来启动容器Docker Compose非常适合组合使用多个容器进行开发的场景使用Compose 基本上分为三步:1. Dockerfile 定义应用的运行环境2. docker-compose.yml 定义组成应用的各服务3. docker-compose up 启动整个应用。
Docker 容器技术(史上最强总结)
hanjinjuan的博客
10-04 2926
一、容器介绍 1、概念 容器其实是一种沙盒技术。顾名思义,沙盒就是能够像一个集装箱一样,把你的应用"装"起来的技术。这样,应用与应用之间,就因为有了边界而不至于相互干扰;而被装进集装箱的应用,也可以被方便地搬来搬去,这其实是 PaaS 最理想的状态。 2、容器本质 容器的本质是进程,容器镜像就是这个系统里的".exe"安装包.**。 3、容器和虚拟机对比 ​ 容器是应用程序层的抽象,将代码和依赖项打包在一起。多个容器可以在同一台计算机上运行,并与其他容器共享OS内核,每个
docker容器的安全
double_happy111的博客
04-28 1026
docker容器的安全 文章目录docker容器的安全1.docker容器与虚拟机的区别2.docker存在的安全问题3.docker架构缺陷与安全机制4.docker安全基线标准5.容器最小化6.docker remote api访问控制7.限制流量流向8.镜像安全9.docker-tls加密 1.docker容器与虚拟机的区别 container VM 启动速度 秒级 分钟...
Docker compose容器编排
2301_79757379的博客
03-29 1016
Docker compose容器编排
Docker容器化实战第三课 dockerfile介绍、容器安全与监控讲解
fegus的博客
05-29 1121
06 最佳实践:如何在生产中编写最优 Dockerfile? 在介绍 Dockerfile 最佳实践前,这里再强调一下,生产实践中一定优先使用 Dockerfile 的方式构建镜像。 因为使用 Dockerfile 构建镜像可以带来很多好处: 易于版本化管理,Dockerfile 本身是一个文本文件,方便存放在代码仓库做版本管理,可以很方便地找到各个版本之间的变更历史; 过程可追溯,Dockerfile 的每一行指令代表一个镜像层,根据 Dockerfile 的内容即可很明确地查看镜像的完整构建过
容器安全与Docker-TLS加密通讯
Gengchenchen的博客
03-31 1401
文章目录一、Docker 容器与虚拟机的区别1.隔离与共享2.性能与损耗二、Docker 存在的安全问题1.Docker 自身漏洞2.Docker 源码问题三、Docker 架构缺陷与安全机制1.容器之间的局域网攻击2.DDoS 攻击耗尽资源3.有漏洞的系统调用4.共享root用户权限四、Docker 安全基线标准1.内核级别2.主机级别3.网络级别4.镜像级别5.容器级别6.其他设置五、容器最小化六、Docker remote api 访问控制七、限制流量流向八、镜像安全九、Docker-TLS加密通讯
Git】Windows下通过Docker安装GitLab
hjh_cos
02-08 1799
私服仓库
基于DevOps进行企业级部署容器应用程序的方法.docx
10-11
- **容器化构建环境**:使用Docker容器作为构建环境,确保一致性,减少构建过程中的依赖问题。 - **多阶段构建**:通过多阶段Dockerfile,将构建和运行环境分开,提高安全性,避免在生产环境中携带不必要的构建...
xueshenggongyu.zip_site:www.pudn.com_xueshenggongyu
09-20
6. 部署环境:Docker容器化部署,方便在不同环境中快速部署和迁移。 三、关键技术点 1. MVC设计模式:系统采用Model-View-Controller架构,分离业务逻辑、数据和显示,提高代码可读性和可维护性。 2. 数据库设计...
idea 2021.1.3版本
06-11
- **Docker集成**:改进Docker插件,提供更强大的容器管理能力,包括构建镜像、部署应用等。 - **Gradle**:优化了Gradle项目的构建速度和同步性能。 4. **代码分析与智能提示**: - **代码检查**:增强了代码...
Docker初识及使用研究
周陽讀書
07-10 787
记录自己使用docker一点一滴。
Docker Push Docker Hub
w13511069150的博客
07-11 430
首先可以参考 Docker | 将自己的docker镜像推送到docker hub[图文详情]_如何将自己的docker镜像上传到dockerhub上-CSDN博客 将自己的镜像打标签 和 镜像推送到 docker hub上的图文注意一下1.打标签之前 docker tag paddleocr_fast_api:1.0 hmgx/wlx:3.02.打标签之后3.开始推送docker push hmgx/wlx:3.0 4.推送完成就可以在 docker hub上查看到了。
运维docker批量删除临时镜像(两种方式)
飞的博客
07-10 1227
构建镜像的时候,同一个版本经常会使用相同tag,频繁打包一段时间后,本地会出现很多。的临时镜像,这时可以通过如下命令来批量删除。在开发的时候,需要经常发布开发包,在使用。
Linux 安装 Docker Compose
最新发布
m0_63004677的博客
07-12 307
Linux 系统安装 Docker Compose
org.codehaus.groovy.control.MultipleCompilationErrorsException: startup failed: WorkflowScript: 6: Invalid tool type "docker". Valid tool types: [ant, hudson.tasks.Ant$AntInstallation, dockerTool, org.jenkinsci.plugins.docker.commons.tools.DockerTool, git, hudson.plugins.git.GitTool, go, org.jenkinsci.plugins.golang.GolangInstallation, gradle, hudson.plugins.gradle.GradleInstallation, groovy, hudson.plugins.groovy.GroovyInstallation, jdk, hudson.model.JDK, jgit, org.jenkinsci.plugins.gitclient.JGitTool, jgitapache, org.jenkinsci.plugins.gitclient.JGitApacheTool, maven, hudson.tasks.Maven$MavenInstallation] @ line 6, column 9. docker 'docker'
05-30
这个错误是因为在 tools 声明中使用了无效的工具类型 "docker",导致编译错误。在错误信息中,提示了有效的工具类型,包括 ant、git、go、maven 等等。 正确的使用 Docker 工具的方式是使用 "dockerTool" 或 "org.jenkinsci.plugins.docker.commons.tools.DockerTool",将其作为工具类型。例如: ``` tools { // 使用名为 'docker' 的 Docker 环境 dockerTool 'docker' } ``` 或者: ``` tools { // 使用名为 'docker' 的 Docker 环境 org.jenkinsci.plugins.docker.commons.tools.DockerTool 'docker' } ``` 在这两个示例中,我们使用了有效的 Docker 工具类型,并且指定了工具的名称为 "docker"。 如果你还是无法解决问题,请提供更多的代码和错误信息,以便更好地帮你解决问题

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值