docker pull_在启动docker pull之前

最新推荐文章于 2024-07-04 16:35:52 发布
最新推荐文章于 2024-07-04 16:35:52 发布
阅读量453 收藏
点赞数
文章标签: docker java linux 安全 计算机视觉
原文链接:https://opensource.com/business/14/12/steps-to-initiate-docker-pull
版权

docker pull

由Trevor Jay撰写

除了隔离容器固有的一般挑战之外,Docker还以其自动获取和安装机制“ docker pull”的形式带来了全新的攻击面。 这可能是违反直觉的,但是“ docker pull”在一个步骤中同时获取和解压缩容器映像。 没有验证步骤,而且令人惊讶的是,格式错误的程序包可能损害系统,即使容器本身从未运行过。 CVE针对Docker的许多问题都与打包有关,打包可能导致安装时妥协和/或Docker注册表问题。

现在解决的这种恶意问题可能危害系统的方法是在解压缩步骤中通过简单的路径遍历。 通过简单地使用压缩包的功能来解压缩到诸如“ ../../../”之类的路径,恶意映像便能够覆盖所需的主机文件系统的任何部分。

因此,使用Docker映像时保护自己的最重要方法之一就是确保仅使用可信任来源中的内容,并分开下载和解压缩/安装步骤。 最简单的方法就是不使用“ docker pull”命令。 而是从安全来源通过安全通道下载Docker映像,然后使用“ docker load”命令。 大多数图像提供者还直接通过安全或至少可验证的连接来提供图像。 例如,红帽提供了SSL可访问的“容器映像”。 Fedora还为每个发行版提供Docker映像。

尽管Fedora并未为SSL提供所有镜像,但它确实提供了Docker映像的签名校验和,可用于在使用“ docker load”之前对其进行验证。

由于“ docker pull”会自动解压缩映像,并且此解压缩过程本身通常会受到危害,因此错别字可能会导致系统受损(例如,在您打算“ rhel”时下载并解压缩了恶意的“ rel”映像)。 Dockerfiles中也可能出现此错字问题。 保护自己的一种方法是,防止在防火墙级别意外访问index.docker.io或通过添加以下/ etc / hosts条目:

127.0.0.1 index.docker.io

这将导致此类错误超时,而不是潜在地下载不需要的图像。 您仍然可以通过显式提供注册表来对私有存储库使用“ docker pull”:

docker pull registry.somewhere.com/image

您可以在Dockerfiles中使用类似的语法:

from registry.somewhere.com/image

Docker是一项了不起的技术,但它既不是安全性也不是互操作性的灵丹妙药。 图像仍然需要来自证明其安全性,支持级别和兼容性的来源。

最初发布在Red Hat Security Blog上 经许可重新发布。

翻译自: https://opensource.com/business/14/12/steps-to-initiate-docker-pull

docker pull

cumo3681
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker-pull:从容器内部拉取 docker 图像,导出以与“docker load”一起使用
06-12
Docker 拉入保存 这将 docker pull 容器化并输出适合“docker load”的 tar 文件。 用途: 容器化 Docker pull 的面向公共网络的部分 支持从未修改的 Docker 引擎上的不安全注册表中提取 支持旧 Docker Engine 版本上的图像格式更改(保存/加载格式没有像注册表 API 那样经常更改) 典型用法 Command: $ docker run ewindisch/docker-pull ewindisch/trinity | docker load 此命令将容器的拉取容器化,并在主机的 docker 守护程序上加载和提取 tar 文件。 由于 tar 文件是在本地提取和重新创建的,因此效率并不高。 但是,恶意 tar 文件提取被包含在内,已知的 Docker 引擎会创建要在主机上提取的 tar 文件。 恶意攻击者仍然可以利用执
docker pulldocker load、docker run使用方法
windmyself的专栏
07-26 1万+
docker pull load save run
dockerpull不下来镜像
最新发布
saiwen777的博客
07-04 208
docker拉取镜像超时
三、Docker的运行机制和操作使用
XZQ_STUD的博客
01-25 153
我们知道Docker并不是容器,而只是一个管理容器的引擎; Docker的底层运行原理: Docker服务启动–>下载镜像–>启动该镜像得到一个容器–>容器里运行着我们想要的程序; 第一个Docker容器 根据Docker的运行机制,我们将按照如下步骤运行第一个Docker容器; 1、将Docker服务启动; 2、下载一个镜像,Docker 运行一个容器前需要本地存在有对应的镜像,如果镜像不存在本地,Docker 会从镜像仓库下载(默认是 Docker Hub公共注册服务器中的仓库 ht
Docker工具的使用
kopoo的博客
11-25 603
初识 Docker jdk的版本问题,环境造成的问题很常见,称为代码的水土不服 把环境和代码一起传过去 软件跨环境迁移的问题就解决了 Docker 是一个开源的应用容器引擎 诞生于 2013 年初,基于 Go 语言实现, dotCloud 公司出品(后改名为Docker Inc) Docker 可以让开发者打包他们的应用以及依赖包到一个轻量级、可移植的容器中,然后发布到任何流行的 Linux 机器上。 容器是完全使用沙箱机制,相互隔离 容器性能开销极低。 Docker 从 1.
docker入门基本操作
ashiners的博客
09-12 1109
首先需要开启docker才可以使用,下面是开启docker和可能用到的一些命令: docker启动、关闭、暂停等(如果设置好开机自启动的话,这里就不用先启动docker了) sudo systemctl start docker#启动docker sudo systemctl enable docker#设置开机启动 sudo systemctl stop docker#暂停docker sudo systemctl restart docker#重启docker 现在可以用 Docker 来部署容器了,
详解如何修改docker pull镜像源
09-30
Docker Hub Mirror 为全球最大的Docker Registry(Docker Hub)提供在中国的镜像代理服务。Docker Hub Mirror会为中国的用户在国内的服务器上缓存诸多镜像。
解决docker pull被复位出现的问题
09-30
主要介绍了解决docker pull被复位出现的问题,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
解决docker pull镜像速度慢的问题的方法
09-30
本篇文章主要介绍了解决docker pull镜像速度慢的问题的方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
docker pull镜像速度慢的问题解决方法
09-30
主要介绍了docker pull镜像速度慢的问题解决方法,小编觉得挺不错的,现在分享给大家,也给大家做个参考。一起跟随小编过来看看吧
详解docker pull 下来的镜像文件存放的位置
09-30
本篇文章主要介绍了详解docker pull 下来的镜像文件存放的位置,具有一定的参考价值,有兴趣的可以了解一下。
Docker入门教程
qq_40145043的博客
12-04 177
本文章介绍了Docker的安装,并简单的介绍了如何使用docker及镜像打包发布到阿里镜像仓库。
docker 拉取镜像、创建并启动容器
weixin_47271830的博客
08-23 9728
获取镜像 默认情况下,使用docker pull命令,会从官方的Docker Hub库中将镜像拉取到本地。 首先介绍这条命令的格式: docker pull [OPTIONS] <仓库名>:<标签> 其中, docker pullDocker拉取镜像的命令关键词; [OPTIONS]:命令选项; 仓库名:仓库名的格式一般为<用户名>/<软件名>。对于Docker Hub,如果不指定用户名,则默认为library,即官方镜像; 标签:标签是区分镜像不同版本的一
Docker pull容器后启动失败的问题
Lovely-Zhang-1026的博客
09-22 390
2.在sql容器中文件配置路径需要改变 我这里用的是mysql8.0 后面的配置路径需要改成/etc/mysql/conf.d 这里的/conf.d是mysql生成的(一开始我不知道以为是自己操作失误生成的,强制删除之后就连接不上mysql了)所以这个编写修改文件的保存路径也是在这个下面!1.可以看到我这里跟老师的文档不一样 多了 --privileged=true 这么一句 这个就是来解决容器一开始启动闪退问题,所以一定要加!需要多用命令查看一下当前状态(有的时候多打了个名字就会新生成一个镜像了!
启动docker镜像
m0_67402013的博客
08-28 1万+
【代码】启动docker镜像。
docker镜像重复拉取失败等相关问题
小小软测师的博客
07-21 2045
docker镜像重复拉取失败问题: 如,docker pull tomcat: 1.Using default tag: latest Trying to pull repository docker.io/library/tomcat … Get https://registry-1.docker.io/v2/library/tomcat/manifests/latest: Get https://auth.docker.io/token?scope=repository%3Alibrary%2Ftomc
Docker 之 实用命令
HeroIsUseless的博客
09-07 349
docker最常见的命令就是 -it -t:在新容器内指定一个伪终端或终端。 -i:允许你对容器内的标准输入 (STDIN) 进行交互。 我们可以通过运行 exit 命令或者使用 CTRL+D 来退出容器。 使用以下命令创建一个以进程方式运行的容器 runoob@runoob:~$ docker run -d ubuntu:15.10 /bin/sh -c "while true; do echo hello world; sleep 1; done" 2b1b7a42..
docker 命令详解(二十三):pull
youzhouliu的博客
05-17 2490
docker pull 命令详解。
docker拉取镜像并运行
热门推荐
hello world
11-30 1万+
1.docker pull [options] name [:tag] 表示从仓库拉取镜像 options是参数 tag是版本 2.docker images [options] [repository [:tag] ] 查看本机有哪些镜像 或查看镜像是否拉取成功了 options是参数, repository 和tag 是指定查看某一个镜像 3.docker run [options] im...
Docker镜像创建与dockerpull深度解析
1. **获取和更新镜像**:Docker提供了`docker pull`命令,用于从Docker Hub或其他注册中心下载已有的镜像。如果需要更新镜像,可以先使用`docker pull`下载最新版本,然后通过`docker commit`命令创建一个基于更新后...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值