如何给 Docker 镜像进行安全签名

最新推荐文章于 2025-01-31 11:23:09 发布
最新推荐文章于 2025-01-31 11:23:09 发布
阅读量3.3k 收藏 7
点赞数
文章标签: docker java 安全 github git
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247504098&idx=1&sn=da7acbce3f5d931c7bd83c9d2c12b0e5&chksm=eac6f1cbddb178dda5e6b625c8419268e0aa96129b4486917ec5bcd5e214dd0c974233c17944&scene=126&&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

5d8ef91a2f22e0dbe41d2050c50f3092.png

幸运的是,Docker 通过一种称为 Docker 内容信任的功能来实现信任机制。

在网络系统之间传输数据时,信任是一个核心问题。特别是,当通过不受信任的互联网网络进行通信时,确保系统操作的所有数据的完整性和可信任的发布者,是至关重要的。使用 Docker Engine 将镜像推、拉到公共或私有仓库中,镜像签名能够保证,通过任何渠道从仓库获取到的镜像是完整的和可信任的。

1信任机制

介绍 DCT 到底是什么,其作用是为了干什么!

Docker Content Trust(DCT)提供了对从远程 Docker 仓库上传和下载的镜像文件,使用数字签名的能力,其能够保证镜像文件的完整性和发布者的可信性。DCT 通过 Docker 标签对镜像文件是否进行签名进行区分,镜像发布者可以自行决定在哪些标签上进行签名。

DCT 实现的是客户端的签名和验证,意味着由 Docker 客户端执行它们。显然,类似这样的密码机制,对于确保在互联网上拉取和推送的软件的可信性是非常重要的,其在整个技术栈的各个层次,以及软件交付流水线的各个环节都在发挥越来越重要的作用。c942feddcea4d7ce44efeb248051b304.png

在Docker中进行镜像签名

2镜像签名

介绍对镜像文件进行签名,秘钥使用流程和关系!

镜像标签的信任是,通过使用签名密钥来管理的。第一次使用 DCT 来操作时,将创建密钥集,由以下类密钥组成:

  • 根密钥 - root key

    • 它用于创建和签名新的库密钥,因此应该被妥善保管

    • an offline key that is the root of DCT for an image tag

  • 库密钥 - 标签密钥 - repository key

    • 用于对需要推送到指定镜像库的打标签的镜像进行签名

    • repository or tagging keys that sign tags

  • 时间戳密钥 - timeStamp key

    • 它被保存在远程镜像库中,用于一些更加高级的使用场景以确保时效性

    • server-managed keys such as the timestamp key, which provides freshness security guarantees for your repository

f70435d714de1777f42dbbb222da3ab3.png
在Docker中进行镜像签名

0f8ae4b4df95aeb7c0d876776a11cdf5.png

点击上方图片,打开小程序,『美团外卖』红包天天免费领!

下图描述了各种签名密钥及其关系,但需要注意的是根密钥的丢失是很难恢复的,所以应该将根密钥备份到一个安全的地方。

c01e9446b04b40cd441733b4502b4f67.png
在Docker中进行镜像签名

3初次使用

使用我们自建的 notary(一个用于建立内容之间信任的平台)服务进行容器签名

Docker CLI 中,我们可以使用 docker trust 命令对容器文件进行签名和推送。但是需要注意的是,必须要部署一个公证服务器(notary)才可以对容器镜像进行签名。

# Notary Server
$ git clone https://github.com/theupdateframework/notary.git
$ docker-compose up -d
a5de13f58e4201ac362b583f63ae7900.png
在Docker中进行镜像签名

要签名一个 Docker 镜像,需要一个密钥对,其可以使用命令在本地生成(默认情况下存储在 ~/.docker/trust/ 中),也可以由来自证书机构。

# 本地生成
$ docker trust key generate point_me
Generating key for point_me...
Enter passphrase for new point_me key with ID 9deed25:
Repeat passphrase for new point_me key with ID 9deed25:
Successfully generated and loaded private key.

# 使用已有
$ docker trust key load key.pem --name point_me
Loading key from "key.pem"...
Enter passphrase for new point_me key with ID 8ae710e:
Repeat passphrase for new point_me key with ID 8ae710e:
Successfully imported key from key.pem

接下来,我们将公钥添加到公证服务器上。如果是第一次执行的话,需要输入一些相关信息,才可以使用。

$ docker trust signer add --key cert.pem point_me registry.example.com/admin/demo
Adding signer "point_me" to registry.example.com/admin/demo...
Enter passphrase for new repository key with ID 10b5e94:

最后,我们将使用私钥对特定镜像文件的标签进行签名,并将其推到仓库中去。

# 签名
$ docker trust sign registry.example.com/admin/demo:1
Signing and pushing trust data for local image registry.example.com/admin/demo:1, may overwrite remote trust data
The push refers to repository [registry.example.com/admin/demo]
7bff100f35cb: Pushed
1: digest: sha256:3d2e482b82608d153a374df3357c0291589a61cc194ec4a9ca2381073a17f58e size: 528
Signing and pushing trust metadata
Enter passphrase for signer key with ID 8ae710e:
Successfully signed registry.example.com/admin/demo:1
# 启用
$ export DOCKER_CONTENT_TRUST=1

# 推送
$ docker push registry.example.com/admin/demo:1
The push refers to repository [registry.example.com/admin/demo:1]
7bff100f35cb: Pushed
1: digest: sha256:3d2e482b82608d153a374df3357c0291589a61cc194ec4a9ca2381073a17f58e size: 528
Signing and pushing trust metadata
Enter passphrase for signer key with ID 8ae710e:
Successfully signed registry.example.com/admin/demo:1

# 查看
$ docker trust inspect --pretty registry.example.com/admin/demo:1

# 删除远程服务器对该镜像的信任
$ docker trust revoke registry.example.com/admin/demo:1
Enter passphrase for signer key with ID 8ae710e:
Successfully deleted signature for registry.example.com/admin/demo:1

Docker 客户端默认禁用镜像签名,如果希望启用,则将 DOCKER_CONTENT_TRUST 环境变量设置为 1 即可。这将阻止用户使用带有非签名的图像文件,对应对应的客户端命令,比如 pushbuildcreatepullrun

# 拉取失败
$ docker pull registry.example.com/user/image:1
Error: remote trust data does not exist for registry.example.com/user/image: registry.example.com does not have trust data for registry.example.com/user/image

# 拉取成功
$ docker pull registry.example.com/user/image@sha256:d149ab53f8718e987c3a3024bb8aa0e2caadf6c0328f1d9d850b2a2a67f2819a
sha256:ee7491c9c31db1ffb7673d91e9fac5d6354a89d0e97408567e09df069a1687c1: Pulling from user/image
ff3a5c916c92: Pull complete
a59a168caba3: Pull complete
Digest: sha256:ee7491c9c31db1ffb7673d91e9fac5d6354a89d0e97408567e09df069a1687c1
Status: Downloaded newer image for registry.example.com/user/image@sha256:ee7491c9c31db1ffb7673d91e9fac5d6354a89d0e97408567e09df069a1687c1

4使用示例

直接基于 hub.docker 仓库服务进行操作!

下面通过一个简单的配置 DCT 的实战例子予以阐述。我们需要一个 Docker 客户端和一个用来推送镜像的库,Docker Hub 上的镜像库即可。

# 启用特性
$ export DOCKER_CONTENT_TRUST

# 登录hub.docker仓库
$ docker login

#  对镜像打标签并推送到目标镜像库
$ docker image tag alpine:latest escape/dockerbook:v1

# 推送打了新标签的镜像
# 在签名时会创建两个密钥,根密钥和库密钥
$ docker image push nigelpoulton/dockerbook:v1

# 在拉取镜像时使用如下命令来覆盖DCT设置
$ docker image pull --disable-content-trust nigelpoulton/dockerbook:unsigned

# 尝试运行未签名的镜像容器
$ docker container run -d --rm nigelpoulton/dockerbook:unsigned
docker: No trust data for unsigned.

5参考链接

  • Content trust in Docker

  • Deploy Notary Server with Compose

  • 容器镜像签名

本文转载自:「 Escape 的博客 」,原文:https://tinyurl.com/59badcrb ,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

acd456a3ce81fef5863b84c450046e84.gif

ddff9522e3d604e98c1681a7b47bd924.png

你可能还喜欢

点击下方图片即可阅读

5d642390a50c83c282ee658217b34f71.png

Wintun:一款惊艳的 WireGuard 虚拟网卡接口驱动

180ba38ebc2722b9ca5d28e7e6f1e731.png
『美团|饿了么』外卖红包天天免费领,吃饭省钱杠杠滴!

10930d27cdc31ebb0d149863016291d6.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
Docker镜像Docker镜像所有版本信息查询方法
jks212454的博客
05-02 7484
Docker镜像Docker镜像所有版本信息查询方法
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4847
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
Docker Content Trust + 镜像签名”,打造安全的 Kubernetes 供应链!
Docker公司
03-21 2280
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面两周前,我们分享了一篇名为“镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!的文章,它主要介绍了 Docker EE 的镜像扫描和基于策略的镜像提升功能为 Kubernetes 软件供应链提供持续、安全的保护。今天,我将为大家带来打造安全的 Kubernetes
探索Docker Notary:安全镜像签名与验证工具
Innocence_0的博客
07-14 1359
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
Docker技术简介
最新发布
2301_82330629的博客
01-31 895
例如,Docker Registry 通过镜像分发机制,可以让不同区域的用户从最近的节点获取容器镜像,显著提高镜像拉取的速度。docker ps -a命令来查看容器列表,可以看见Registry的详细内容包括container id(容器id)、image(镜像)、name(名字)、ports(端口)等等,当我们通过该命令查看Registry容器启动后,我们可以通过浏览器输入http://ip_addr:5000/v2/来查看Registry的运行情况。这样可以共享宿主机的 Bash 命令历史记录。
docker 删除映像_使用签名保护您的Docker映像
weixin_26722031的博客
07-31 575
docker删除映像With Docker dominating the delivery workflow, it’s become imperative that your container images can be trusted. How can your users be sure that the image content they’re downloading is what ...
docker 导出复制镜像 导入镜像 查看镜像签名
AntHub的博客
08-07 652
docker 导出复制镜像 导入镜像 查看镜像签名
容器镜像签名
SHELLCODE_8BIT的博客
04-18 520
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名 - 云+社区 - 腾讯云 如何给 Docker 镜像进行安全签名_运维之美的博客-CSDN博客
Docker深入浅出】【二】Docker镜像
hiliang521的博客
08-18 6448
Docker深入浅出】Docker镜像
DockerDocker镜像
wosixiaokeai的博客
06-25 880
1.1UnionFS(联合文件系统)1.2镜像1.3特点1.4使用场景1.5优化。
docker安全
Yusheng9527的博客
03-16 982
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
搭建Docker私有仓库(自签名方式)
09-30
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。这篇文章主要介绍了搭建Docker私有仓库(自签名方式),具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Docker基础命令-镜像管理(高级镜像操作、构建镜像安全扫描与签名镜像分发与协作)
weixin_43298211的博客
05-29 539
深入管理Docker镜像不仅涉及到基本的拉取、构建和推送操作,还包括了高级的构建优化、安全扫描、版本控制以及高效的合作模式。掌握Docker的核心命令是使用Docker的关键,这些命令涵盖了镜像管理、容器操作、网络配置、数据卷管理等多个方面。:部署并使用私有Docker Registry,如Harbor或Nexus,以管理组织内部的镜像。:对于私有仓库,可以使用Docker Content Trust为镜像签名,确保镜像的来源可信。:选择轻量级的基础镜像,如Alpine Linux,以减小最终镜像的体积。
通过docker cli 源码跟踪docker镜像签名
xuguokun1986的博客
08-10 666
Docker代码更新很快,Docker项目更名为moby,然后很多组件又从moby中拆分了出来。其中docker client的源码如下: https://github.com/docker/cli 目前最新的版本是18.09,可直接下载或通过gitclone下载。将项目放在如下目录:cli-master 1、入口文件在cmd/docker/docker.go func main() { ...
签名证书创建docker镜像仓库,同时无需重启docker的配置
weixin_34348111的博客
10-24 439
2019独角兽企业重金招聘Python工程师标准>>> ...
容器入门(8) - 镜像签名
多恩斯基的博客
08-12 1565
http://redhatgov.io/workshops/security_container_intro/lab07-signing/
容器镜像签名思考
SHELLCODE_8BIT的博客
04-18 601
解决什么问题 1.镜像在流转中被篡改 2.仓库被攻破,镜像被篡改 3.镜像仓库地址被劫持
使用 Cosign 来对极狐GitLab 镜像进行签名
DevOps008的博客
06-06 1252
使用 Cosign 来对极狐GitLab 镜像进行签名
linux代码签名,浅谈Linux容器和镜像签名(示例代码)
weixin_35436076的博客
05-12 337
导读从根本上说,几乎所有的主要软件,即使是开源软件,都是在基于镜像的容器技术出现之前设计的。这意味着把软件放到容器中相当于是一次平台移植。这也意味着一些程序可以很容易就迁移,而另一些就更困难。我大约在三年半前开展基于镜像的容器相关工作。到目前为止,我已经容器化了大量应用。我了解到什么是现实情况,什么是迷信。今天,我想简要介绍一下 Linux 容器是如何设计的,以及谈谈镜像签名。Linux 容器是如...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值