容器镜像仓库泄露风险分析

最新推荐文章于 2024-08-05 22:09:10 发布
最新推荐文章于 2024-08-05 22:09:10 发布
阅读量91 收藏
点赞数
文章标签: 机器人 人工智能 深度学习
原文链接:https://www.secrss.com/articles/60418
版权
本文详细分析了DockerHub、Harbor和DockerRegistry镜像库中的安全漏洞,包括DockerHub密钥泄露、Harbor组件暴露和CVE-2022-46463漏洞利用,以及如何通过漏洞进行攻击和防范措施。
摘要由CSDN通过智能技术生成

源自: 绿盟科技研究通讯

“人工智能技术与咨询”   发布

一. 概 述

图片

图片

二. Docker Hub镜像泄露分析

2.1   Docker Hub镜像密钥泄露情况

图片

图片

图1 研究人员最终获取的敏感信息汇总

图片

2.2    暴露敏感信息分析

图片

图片

图2 Docker Hub泄露信息类型汇总

图片

图片

三. Harbor镜像泄露分析

3.1    Harbor组件公网暴露情况

图片

图片

图3 Harbor资产在Shodan上扫描的结果

3.2    镜像泄露风险分析

图片

 3.2.1     CVE-2022-46463导致镜像泄露过程验证

图片

图片

图4 NVD对CVE-2022-46463的描述

图片

图片

图5 测试环境的Harbor版本为2.9.1

图片

图片

图6 将测试镜像打标签,并上传到Harbor

图片

图7 Harbor上可以查询到该镜像

图片

图片

图8 通过CVE-2022-46463发现了上传的镜像仓库名称

图片

图9 通过Harbor的API接口进一步获取该镜像的digest

图片

图10 通过镜像的digest组装出镜像拉取命令,并成功拉取该镜像

图片

 3.2.2    “假漏洞”乌龙事件

图片

图片

图11 Harbor官方对此漏洞的回复

图片

图片

图12 新建项目界面

图片

图片

图13 未认证用户无法通过API获取到该项目的任何信息

图片

四. Docker Registry镜像泄露分析

4.1    Docker Registry组件公网暴露情况

图片

图片

图14 Docker Registry资产在Shodan上扫描的结果

4.2   镜像泄露风险分析

图片

图片

图15 通过API对资产的镜像仓库列表进行读取

图片

图片

图16 通过API获取镜像仓库的tag列表

图片

图片

图17 组合出来的镜像仓库拉取代码

图片

图片

图18 开启认证服务时的Docker Registry启动方式(示例)

图片

图片

图19 具有认证机制的Docker Registry将可以对私有镜像仓库进行保护

图片

五. 总结

图片

声明:公众号转载的文章及图片出于非商业性的教育和科研目的供大家参考和探讨,并不意味着支持其观点或证实其内容的真实性。版权归原作者所有,如转载稿涉及版权等问题,请立即联系我们删除。

“人工智能技术与咨询”   发布

renhongxia1
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 4075
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
镜像仓库安全配置
Tommy Xiao
10-28 215
镜像仓库工具、镜像下载加速工具、安全扫描工具理解镜像存储和镜像安全
qiaotl的博客
07-19 443
镜像仓库工具、本地镜像加速工具、镜像安全扫描工具三方面来理解镜像存储和下载。
常见的几种开源镜像仓库介绍
Andriy_dangli
11-23 2万+
常见的几种开源镜像仓库介绍1、Docker Registry2、VMware Harbor安装部署Harbor3、Sonatype Nexus4、SUSE Portus以上几种方案的特性对比 1、Docker Registry Docker Registry是最流行的开源私有镜像仓库,以镜像格式发布,在下载后运行一个Docker Registry容器即可启动一个私有镜像仓库服务: # 创建存放用户...
容器技术之镜像仓库harbor部署过程
04-20
本文档记录了容器镜像仓库harbor的部署过程及相关配置文件,根据步骤可以搭建一个安全可靠的带openssl的harbor容器仓库
cadvisor.tar 容器镜像,可以监控容器
06-08
cadvisor.tar 容器镜像,可以监控容器
深入了解docker(docker镜像容器仓库的基本概念)
01-11
本文重点给大家介绍docker镜像容器仓库的基本概念的知识。 Docker概念 Docker 是一个开源的应用容器引擎,让开发者可以打包他们的应用以及依赖包到一个可移植的容器中,然后发布到任何流行的 Linux 机器上,也...
镜像仓库
lyzkks的博客
06-10 3073
搭建私有镜像仓库 当使用docker pull下载一个镜像的时候,实际是从docker hub网站下载镜像。Docker Hub作为Docker默认官方公共镜像;如果想自己搭建私有镜像仓库,官方也提供registry镜像,使得搭建私有仓库非常简单。 下载registry镜像并启动 docker pull registry docker run -d -v /opt/registry:/...
Docker私有镜像仓库是什么?
无敌码农
08-07 4419
Docker镜像仓库概述镜像仓库作为Docker技术的核心组件之一,其主要作用就是负责镜像内容的存储和分发。Docker镜像仓库从使用范围来说分为“公有镜像仓库”和“私有镜像仓库”,公有...
openshift集成(内部)镜像仓库暴露安全访问地址
KK下山去买菜
03-15 1220
1. 获取镜像仓库 cluster ip oc project default oc get svc/docker-registry NAME TYPE CLUSTER-IP EXTERNAL-IP PORT(S) AGE docker-registry ClusterIP 172.30.31.74 <none> ...
搭建安全的私有Docker镜像仓库
xialingming的博客
07-30 882
网上有些文章写这个,但是要么告诉你直接加insecure registries,要么直接用CA作为服务的证书了,可以说很粗暴了,有些直接必须要求你设置CN,不能用IP地址。这些距离一个理想的纯私有环境的镜像仓库部署有不小差距,因此有了此文。 1. 期望 不需要通过设置insecure_registies的方式,在客户端随意pull/push一个私有镜像仓库源中的镜像 ca证书不...
云原生时代,如何保证容器镜像安全
GitLab 中国发行版
02-22 4131
遵循最佳实践编写 Dockerfile,采用 Kaniko 来构建容器镜像并且将镜像扫描嵌入到极狐 GitLab CI/CD 中,是保证容器镜像安全的有效手段与步骤。
docker镜像仓库的建立(安全证书和用户认证)
柠檬精哒博客
08-22 5988
便于镜像的直接拉取 将已经暂停的容器都删除 创建钥匙,在创建仓库后,拥有证书钥匙的用户才能使用镜像仓库 安全证书的仓库建立 删除所有关闭的容器 [root@foundation23 docker]# docker container prune WARNING! This will remove all stopped containers. Are you sure you wan...
镜像仓库Harbor
QKC的博客
09-28 6442
目录 一、Harbor特性介绍 二、Harbor高可用方案介绍 三、Harbor组件 四、Harbor部署 五、Harbor管理 在生产一线,往往需要把镜像发布到几十台、上百台节点,这时单台 Docker 主机上的镜像已无法满足,项目越来越多,都放到一台 Docker 主机上是不行的,我们需要一个像 Git 仓库一样的系统来管理镜像。我们这里部署的就是 Harbor 作为 regist...
部署Harbor私有镜像仓库(无坑)!
热门推荐
YinYiHang的博客
04-29 4万+
Harbor私有镜像仓库无坑搭建 目录 1. harbor介绍 2. docker-ce的安装 3. docker-compose的安装 4. Harbor私有仓库的安装 5. 客户端连接镜像仓库配置过程 1. harbor介绍 Docker容器应用的开发和运行离不开可靠的镜像管理,虽然Docker官方也提供了公共的镜像仓库,但是从安全和效率等方...
电销机器人有哪些优势?
jiadan798的博客
08-05 490
第二,我们也知道,面对客户的质疑,电力销售的普通客户服务有时会失去信心,然后发言权将完全被客户控制,然后业务将失去谈判的意义。然而,如果有一个电话销售机器人接管,在这个过程中就不会有不确定的情况。首先,电话销售机器人的最大优势在于,它们可以与顾客进行自然对话,这在每个人对机器人的看法上都是一个突破。第三,机器人还有一个非常明显的优势,就是它可以进行分类,主要是根据客户的意愿进行最基本的分类,并将这些分类和相关的详细说明发送到后台,这样后台也可以在查看时更容易、更快地看到,这对提高工作效率非常重要。
CSDN 僵尸粉 机器人
最新发布
yimtcode
08-05 678
不知道什么时候开始每天创作2篇就有1500流量爆光,每次都能收获一些关注和收藏,感觉还是挻开心的感觉CSDN人气还是挻可以的以前各把月一个收藏和关注都没有写的动力了。
k8s国内的容器镜像仓库
06-12
Kubernetes(简称 K8s)是一个开源的容器编排平台,而国内的容器镜像仓库主要是为了方便国内用户访问和管理容器镜像,以减少延迟和提高安全性。以下是一些知名的国内K8s容器镜像仓库: 1. 阿里云 Docker Hub: 阿里云的 Docker Hub 提供了国内加速的私有镜像服务,如 Docker Registry Enterprise 和 Docker Hub China,支持自定义镜像推送和拉取。 2. Docker Hub中国: 官方授权的 Docker 中国版镜像仓库,提供对国际 Docker Hub 的加速访问。 3. 华为云 Harbor: 华为云的 Harbor 是一个安全、稳定的开源容器镜像仓库,提供了丰富的镜像管理功能。 4. Docker China Community Registry: 由 Docker 社区在中国建立的镜像存储服务,用于存储开源项目的镜像。 5. 码云 Gitee Container Registry: 码云提供的容器镜像仓库,支持 Git 和 Dockerfile 的无缝集成。 6. QingCloud QingDock: 青云的 QingDock 也提供了国内镜像加速服务,适用于其云平台用户。 使用这些镜像仓库时,通常会设置国内的加速器或镜像源,以提升部署和应用的性能。如果你有特定的需求,比如需要私有化存储或特定技术栈的支持,可以根据这些信息进行选择。相关问题: 1. 怎么在K8s中配置国内的镜像仓库作为默认源? 2. 如何在阿里云Docker Hub Enterprise上注册和管理镜像? 3. 是否可以将私有镜像从公有仓库导出到国内的私有仓库
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值