Android 内核镜像签名,Docker 的镜像签名

最新推荐文章于 2024-05-03 22:34:17 发布
最新推荐文章于 2024-05-03 22:34:17 发布
阅读量386 收藏
点赞数
文章标签: Android 内核镜像签名

应用上云的过程中,过了部署关和应用改造关之后,安全就是下一个大问题了。对于容器化应用来说,镜像的安全是个非常根本的问题,例如 Harbor 中集成了 Clair 组件,用于对镜像进行漏洞扫描;之前介绍的 Trivy 也能够提供对镜像各层进行扫描的能力,类似的工具还有很多。在完成镜像本身的安全保障之后,一方面要把安全构建出来的镜像能够”原汁原味“的提供给运行时进行使用,同时还要对运行时环境进行约束,只允许获取和运行可靠镜像,如此才能够保证镜像供应链的完整。

快速上手

Harbor 中提供了 Notary 服务来提供了这方面的保障,Docker 17.12 之后也提供了对应的运行时支持。

这里用 1.10.0 版本的 Harbor 为例,在安装命令中加入参数 --with-notary 就可以启用这个服务了。启动 Harbor 之后,使用 Docker 客户端的终端设置环境变量:export DOCKER_CONTENT_TRUST=1。启用 Docker 的内容信任模式。

使用 docker login 命令登录仓库,然后进行镜像推送,例如:$ docker push 10.211.55.27/sign/clare:s1

The push refers to repository [10.211.55.27/sign/clare]

bbef02a499c4: Layer already exists

...

47a4bb1cfbc7: Layer already exists

s1: digest: sha256:bafc293fd765dbbad5ed3d57d771f0566e5d63a668213f1f61c469cbb199fca6 size: 1162

Signing and pushing trust metadata

You are about to create a new root signing key passphrase. This passphrase

...

Enter passphrase for new root key with ID b52c1ba:

Repeat passphrase for new root key with ID b52c1ba:

Enter passphrase for new repository key with ID c37e6d2:

Repeat passphrase for new repository key with ID c37e6d2:

Error: trust data missing for remote repository 10.211.55.27/sign/clare or remote repository not found: timestamp key trust data unavailable.  Has a notary repository been initialized?

这里多出了一个初始化过程,在我们照章输入密码之后,发现出了错,这是因为我们没有设置 Notary 服务地址,加入环境变量来解决:export DOCKER_CONTENT_TRUST_SERVER=https://10.211.55.27:4443。

再次推送:$ docker push 10.211.55.27/sign/clare:s1

The push refers to repository [10.211.55.27/sign/clare]

...

Repeat passphrase for new repository key with ID d6068a9:

Finished initializing "10.211.55.27/sign/clare"

Successfully signed 10.211.55.27/sign/clare:s1

可以看到,推送已经成功了,并且还有签署成功的反馈。查看一下他的签名信息:$ docker trust inspect 10.211.55.27/sign/clare:s1

[

{

"Name": "10.211.55.27/sign/clare:s1",

"SignedTags": [

{

"SignedTag": "s1",

"Digest": "bafc293fd765dbbad5ed3d57d771f0566e5d63a668213f1f61c469cbb199fca6",

"Signers": [

"Repo Admin"

]

}

...

如果我们取消 Docker 内容信任:unset DOCKER_CONTENT_TRUST。接下来推送一个新镜像:$ docker push 10.211.55.27/sign/alpine:latest

The push refers to repository [10.211.55.27/sign/alpine]

77cae8ab23bf: Pushed

再次开启 Docker 内容信任开关:export DOCKER_CONTENT_TRUST=1,尝试拉取:$ docker pull 10.211.55.27/sign/alpine:latest

Error: remote trust data does not exist for 10.211.55.27/sign/alpine: 10.211.55.27:4443 does not have trust data for 10.211.55.27/sign/alpine

可以看到 Docker 拒绝了未经签署的镜像。

幕后

Docker 包含了简写为 DCT 的内容签名(Docker Content Trust)支持,能够借助 Notary 进行内容签署和校验。首次签署时会要求生成根密钥,每次创建一个新的 Repository 时候,会为其单独生成签署密钥。接下来,每个 Tag 的推送都会进行签署,从而保证内容的稳定性。

问题Kubernetes 能享受到这个么?

托管 Kubernetes 怎么办?

多镜像仓库怎么办?

张维为
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
Docker获取镜像
benben的博客
08-23 3381
Docker Registry获取镜像的命令是docker pull,其命令格式为docker pull [选项] [Docker Registry地址]<仓库名>:<标签>。Docker Registry地址的格式一般是<域名/IP>[:端口号],默认地址是Docker Hub。 用docker pull拉取镜像时,如果出现Error response f...
Docker篇之docker镜像
吸欧气
09-10 874
Docker Hub网站是docker的官方网站,里面有着大量的镜像来供大家下载 查找镜像 (search) 这里以nginx为例 docker search nginx NAME DESCRIPTION STARS OFFICIAL AUTOMATED nginx Of
android镜像签名机制,Android签名机制
weixin_35323550的博客
05-30 454
文章摘要Android签名机制流程图.PNG为何需要Android签名防止APK被恶意篡改后,二次签名打包。基本概念1.数据摘要:本质上是一种算法;原始信息按照一定算法规则提取信息,提取出来的信息就是数据摘要。特点:固定长度相同的输入必定产生相同的输出不可逆性2.签名文件和证书文件:必定成对出现;数字签名:非对称加密技术和数据摘要的一个应用,可以解决可靠通信的问题。数字证书:主要用来解决公钥安全发...
Android签名功能的实现
toeii
07-14 946
当你需要绘制某些东西的时候,你实际上需要四个基本组件:   1.一个Bitmap来存放像素。   2.一个Canvas来调用绘制函数,向位图中写入内容。   3.要绘制的基本图元,如矩形(Rect), 路径(Path), 位图(BitMap),或者文字等   4.一个画笔(Paint),指定了绘制时所用的颜色和样式等。        Android中提供了一系列二维图
Docker 加持的安卓手机:随身携带的知识库(一)
最新发布
为了不折腾而去折腾的那些事
05-03 1527
这篇文章聊聊,如何借助 Docker ,尝试将一台五年前的手机,构建成一个随身携带的、本地化的知识库。
docker拉取镜像提示 remote trust data does not exist for xxxxxx
有一种信仰叫海阔天空
01-06 1283
How can I be sure that I am pulling a trusted image from docker docker: you are not authorized to perform this operation: server returned 401. Error: remote trust data does not exist for docker.io/nacos/nacos-server: notary.docker.io does not have trust da
Android 系统签名
a87024341的博客
11-09 6504
Android 查看签名信息的几种方法
Android使用固定的key给ko(kernel module) 签名
Deep Lee的专栏
10-13 1731
Android 原生默认每次编译使用自动生成在out目录的 pem和x509文件签名,由于种种原因我们可能需要使用固定的key给ko做签名,经过研究发现如果要使用固定的key来签名,需要做一下修改。
详解Docker 容器基础系统镜像打包
01-11
因为容器本身是共享宿主操作系统内核,所以容器基础系统镜像包本身就是一个标准的 Linux rootfs + 用户自定义的工具。根据这个思路,我们就可以构建一个自己的容器基础系统镜像。 构建标准的 Linux rootfs 的方式有...
Docker树莓派内核编译镜像
01-23
Docker树莓派内核编译镜像
Docker 镜像和容器的区别详解
01-10
最近学习Docker,被Docker镜像和容器搞的晕头转向,索性上网查找相关资料并...一个Docker镜像可以构建于另一个Docker镜像之上,这种层叠关系可以是多层的。第1层的镜像层我们称之为基础镜像(Base Image),其他层
玩转Docker镜像
03-03
Docker是基于Go语言开发,通过分层镜像标准化和内核虚拟化技术,使得应用开发者和运维工程师可以以统一的方式跨平台发布应用。镜像Docker最核心的技术之一,也是应用发布的标准格式。DockerDocker.Inc公司开源的...
Docker 容器安全的“终极武器”——AIM
weixin_37098404的博客
09-26 952
作者 | Jeff Hale译者 | 核子可乐我们需要关注 Docker 中的安全问题吗?这个得具体分析。Docker 拥有相当强大的安全保障能力,因此如果大家只使用官方...
【转】Docker容器镜像安全最佳实践指南
tpriwwq的专栏
04-16 2121
在企业中信息系统安全与业务是同样重要, 随着传统运维方式向着容器化运维方式的转变,当下企业里通常都会采用Docker来进行容器化部署和承载业务。Docker容器安全也是重中之重, 它关乎着应用与数据安全,其中也关乎着宿主机的安全。
android内核模块签名,内核模块签名--命令行
weixin_39769703的博客
05-31 817
依据 scripts/sign-file, 命令行签名模块及验证签名# 生成签名,密匙MOK_private.perm; 证书MOK.crt; DER格式证书MOK.deropenssl req -newkey rsa:4096 -nodes -keyout MOK_private.perm -new -x509 -sha512 -days 3650 -subj "/CN=my Machine O...
android内核模块签名,android安装内核module,提示Required key not available
weixin_32943417的博客
05-31 927
最近在调试一个驱动的时候,用insmod加载.ko的时候,提示Required key not available,第一反应是签名有问题,内核模块也开始使用类似apk的签名了吗?查资料后果然是这样。这个问题可以说不算是android的问题,而应该是linux系统的问题,android本身就是个linux系统。下来一步一步分析问题的所在。内核配置内核从3.7后开始支持模块签名,这个功能使能以后,内核...
Android Kernel Module 预编译同步签名方法
Deep Lee的专栏
09-20 777
Android Kernel Module 预编译同步签名方法
Docker 生产环境之使用可信镜像 - Docker 中的内容信任(content trust)
kikajack的博客
03-18 8089
原文地址在联网系统间传输数据时,信任是一个核心问题。特别是,当通过互联网等不可信介质进行通信时,确保系统运行的所有数据的完整性和发布者至关重要。使用 Docker Engine 可以将镜像(数据)推送到公共或私有 registry。内容信任使你能够验证通过任何通道从 registry 接收的所有数据的完整性和发布者。1. 关于 Docker 中的信任内容信任允许使用远程 Docker registr
查看docker镜像内核版本
07-12
要看 Docker 镜像内核版本,你可以运行以下命令: ``` docker run <image_name_or_id> uname -r``` 将 `<image_name_or_id>` 替换为你要查看的镜的名称或 ID。这将在容器中运行 `uname -r` 命令,并显示内核版本...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值