容器入门(8) - 镜像签名

最新推荐文章于 2024-07-26 16:00:00 发布
最新推荐文章于 2024-07-26 16:00:00 发布
阅读量1.4k 收藏
点赞数
分类专栏: podman Image docker 文章标签: 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/117908904
版权
Image 同时被 3 个专栏收录
14 篇文章 1 订阅
订阅专栏
docker
13 篇文章 1 订阅
订阅专栏
podman
11 篇文章 2 订阅
订阅专栏

OpenShift 4.x HOL教程汇总

说明

本文将对测试镜像签名,然后推送到本地Docker Registry上。当用户有签名对应秘钥时,可以正常从Docker Registry获得该镜像;如果没有合法秘钥,则无法从Docker Registry上获取被签名的镜像。

以下用root用户操作。

准备环境

安装python3

$ yum install python3 -y

配置镜像签名

  1. 先创建一个GPG密钥对。根据提示提供用户名、邮箱和密码,并接受缺省选项即可。
$ gpg --full-gen-key
gpg (GnuPG) 2.2.20; Copyright (C) 2020 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.
 
Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
  (14) Existing key from card
Your selection? 
RSA keys may be between 1024 and 4096 bits long.
What keysize do you want? (2048) 
Requested keysize is 2048 bits
Please specify how long the key should be valid.
         0 = key does not expire
      <n>  = key expires in n days
      <n>w = key expires in n weeks
      <n>m = key expires in n months
      <n>y = key expires in n years
Key is valid for? (0) 
Key does not expire at all
Is this correct? (y/N) y
 
GnuPG needs to construct a user ID to identify your key.
 
Real name: liuxiaoyu
Email address: xiaoyliu@redhat.com
Comment: test
You selected this USER-ID:
    "liuxiaoyu (test) <xiaoyliu@redhat.com>"
 
Change (N)ame, (C)omment, (E)mail or (O)kay/(Q)uit? O
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
We need to generate a lot of random bytes. It is a good idea to perform
some other action (type on the keyboard, move the mouse, utilize the
disks) during the prime generation; this gives the random number
generator a better chance to gain enough entropy.
gpg: key D28961834BC7974B marked as ultimately trusted
gpg: directory '/root/.gnupg/openpgp-revocs.d' created
gpg: revocation certificate stored as '/root/.gnupg/openpgp-revocs.d/433F149D481E050260F36F88D28961834BC7974B.rev'
public and secret key created and signed.
 
pub   rsa2048 2021-08-11 [SC]
      433F149D481E050260F36F88D28961834BC7974B
uid                      liuxiaoyu (test) <xiaoyliu@redhat.com>
sub   rsa2048 2021-08-11 [E]
  1. 再用“aaa、aaa@redhat.com”创建另一个签名使用的密钥对。
  2. 查看刚刚创建的GPG秘钥
$ gpg --list-keys xiaoyliu@redhat.com
gpg: checking the trustdb
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
pub   rsa2048 2021-08-11 [SC]
      433F149D481E050260F36F88D28961834BC7974B
uid           [ultimate] liuxiaoyu (test) <xiaoyliu@redhat.com>
sub   rsa2048 2021-08-11 [E]
  1. 在本地运行一个Docker Registry容器。
$ podman run -d -p 5000:5000 docker.io/registry
Trying to pull docker.io/library/registry:latest...
Getting image source signatures
Copying blob 6eda6749503f done  
Copying blob 12008541203a done  
Copying blob ddad3d7c1e96 done  
Copying blob 363ab70c2143 done  
Copying blob 5b94580856e6 done  
Copying config 1fd8e1b0bb done  
Writing manifest to image destination
Storing signatures
3df860c0e5ef3292d7373e183acedf8c3e8405a98a6c1917d09a89f1d0e4587b
  1. pull一个alpine镜像到本地
$ podman pull docker://docker.io/alpine:latest
Trying to pull docker://docker.io/alpine:latest...
Getting image source signatures
Copying blob 29291e31a76a done  
Copying config 021b342311 done  
Writing manifest to image destination
Storing signatures
021b3423115ff662225e83d7e2606475217de7b55fde83ce3447a54019a77aa2
  1. 查看alpine镜像并打标签
$ podman images alpine
REPOSITORY                TAG     IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest  021b3423115f  4 days ago  5.87 MB
$ podman tag alpine localhost:5000/alpine
$ podman images alpine
REPOSITORY                TAG     IMAGE ID      CREATED     SIZE
docker.io/library/alpine  latest  021b3423115f  4 days ago  5.87 MB
localhost:5000/alpine     latest  021b3423115f  4 days ago  5.87 MB
  1. 修改/etc/containers/registries.d/default.yaml文件,修改其中default-docker下面的sigstore和sigstore-staging为以下内容。
default-docker:
  sigstore: http://localhost:8000 # Added by us
  sigstore-staging: file:///var/lib/containers/sigstore
  1. 签名alpine镜像并推送到本地Docker Registry,然后删除本地的alpine镜像。
$ GNUPGHOME=$HOME/.gnupg
$ podman push --tls-verify=false --sign-by xiaoyliu@redhat.com localhost:5000/alpine
Getting image source signatures
Copying blob bc276c40b172 done  
Copying config 021b342311 done  
Writing manifest to image destination
Signing manifest
Storing signatures
$ podman rmi docker.io/alpine localhost:5000/alpine
  1. 查看系统签名存储,
$ ls /var/lib/containers/sigstore
'alpine@sha256=864fe88b86abf48d78de06f57cc5c8be02cc907cfb01c54ef4b668db1c8e0056'
  1. 修改/etc/containers/policy.json文件,把以下内容“docker”部分复制到/etc/containers/policy.json文件中的“transports”区域,以强制验证镜像签名必须是合法的。验证签名使用的key是"/tmp/key.gpg"。
{
  "default": [{ "type": "insecureAcceptAnything" }],
  "transports": {
    "docker": {
      "localhost:5000": [
        {
          "type": "signedBy",
          "keyType": "GPGKeys",
          "keyPath": "/tmp/key.gpg"
        }
      ]
    }
  }
}

验证

  1. 在本地运行一个临时http服务,监控镜像签名目录。
$ cd /var/lib/containers/sigstore && python3 -m http.server
Serving HTTP on 0.0.0.0 port 8000 (http://0.0.0.0:8000/) ...
  1. 将xiaoyliu@redhat.com对应的秘钥导出到/tmp/key.gpg文件,然后从Docker Registry上pull已被签名的alpine镜像。由于该镜像签名时就是使用xiaoyliu@redhat.com对应的秘钥,因此可以正常获取该镜像到本地。
$ gpg --output /tmp/key.gpg --armor --export xiaoyliu@redhat.com
$ podman pull --tls-verify=false localhost:5000/alpine
Trying to pull localhost:5000/alpine:latest...
Getting image source signatures
Checking if image destination supports signatures
Copying blob f0eabd2439ac done  
Copying config 021b342311 done  
Writing manifest to image destination
Storing signatures
021b3423115ff662225e83d7e2606475217de7b55fde83ce3447a54019a77aa2
  1. 将aaa@redhat.com对应的秘钥导出到/tmp/key.gpg文件,然后从Docker Registry上pull已被签名的alpine镜像。由于该镜像签名时没有使用aaa@redhat.com对应的秘钥,因此无法正常获取该镜像到本地。
$ gpg --output /tmp/key.gpg --armor --export aaa@redhat.com
$ podman pull --tls-verify=false localhost:5000/alpine
Trying to pull localhost:5000/alpine:latest...
  Invalid GPG signature: gpgme.Signature{Summary:128, Fingerprint:"433F149D481E050260F36F88D28961834BC7974B", Status:gpgme.Error{err:0x9}, Timestamp:time.Time{wall:0x0, ext:63764273480, loc:(*time.Location)(0x55f4d64ac040)}, ExpTimestamp:time.Time{wall:0x0, ext:62135596800, loc:(*time.Location)(0x55f4d64ac040)}, WrongKeyUsage:false, PKATrust:0x0, ChainModel:false, Validity:0, ValidityReason:error(nil), PubkeyAlgo:1, HashAlgo:8}
Error: Source image rejected: Invalid GPG signature: gpgme.Signature{Summary:128, Fingerprint:"433F149D481E050260F36F88D28961834BC7974B", Status:gpgme.Error{err:0x9}, Timestamp:time.Time{wall:0x0, ext:63764273480, loc:(*time.Location)(0x55f4d64ac040)}, ExpTimestamp:time.Time{wall:0x0, ext:62135596800, loc:(*time.Location)(0x55f4d64ac040)}, WrongKeyUsage:false, PKATrust:0x0, ChainModel:false, Validity:0, ValidityReason:error(nil), PubkeyAlgo:1, HashAlgo:8}

参考

https://github.com/containers/podman/blob/main/docs/tutorials/image_signing.md
http://redhatgov.io/workshops/security_container_intro/lab07-signing/

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
容器镜像签名思考
SHELLCODE_8BIT的博客
04-18 394
解决什么问题 1.镜像在流转中被篡改 2.仓库被攻破,镜像被篡改 3.镜像仓库地址被劫持
容器镜像签名
SHELLCODE_8BIT的博客
04-18 474
(译)用 Notary 和 OPA 在 Kubernetes 上使用内容签名 - 云+社区 - 腾讯云 如何给 Docker 镜像进行安全签名_运维之美的博客-CSDN博客
探索Docker Notary:安全的镜像签名与验证工具
最新发布
ZL_1618的博客
07-26 853
Docker Notary是Docker生态系统中的重要组件,它构建在Framework)之上,用于确保Docker镜像的安全性和完整性。Notary允许开发者对Docker镜像进行签名,并且让终端用户能够验证这些镜像未经篡改。这样,用户就可以信任他们拉取并运行的镜像是来自预期的源头,且未被第三方恶意修改。DockerNotary为容器安全带来了重要的提升,无论是对于开发者还是用户,都是值得信赖的工具。
镜像签名安全研究
SHELLCODE_8BIT的博客
04-26 1344
在 Kubernetes 上使用策略对部署行为进行限制,仅允许运行有签名镜像。 我们希望借助本文,让读者了解到如何在 Kubernetes 中使用可信镜像,其中依赖两个著名的 CNCF 开源项目:Notary 和 OPA。主要思路是使用 OPA 策略来定义自己的内容限制策略。 主要内容如下: 完成示例的先决条件 Notary 和镜像信任的基本概念 在 Kubernetes 上安装 Kubernetes OPA 和 Admission Control 的基本概念 在 Kubernetes .
使用 Cosign 来对极狐GitLab 镜像进行签名
DevOps008的博客
06-06 974
使用 Cosign 来对极狐GitLab 镜像进行签名
AVB之镜像签名及验证签名详解
楼中望月
12-23 5809
文章目录1.签名流程1.1 镜像签名1.2 镜像的内容2.验证镜像的hash和signature签名2.1 计算hash2.2 验证签名 1.签名流程 我们以一下空的dtbo.img镜像为例,进行说明 1.1 镜像签名 调用external/avb/avbtool.py脚本的add_hash_footer 函数 @build/core/Makefile # dtbo image INSTALLED_DTBOIMAGE_TARGET := $(PRODUCT_OUT)/dtbo.img $(INSTALL
对harbor仓库镜像打cosign签名
qq_30467221的博客
04-18 1342
cosign.pub密钥为:MFkwEwYHKoZIzj0CAQYIKoZIzj0DAQcDQgAE+ymG3kh3jF8pIkHBtHZ9KIR0LwEURYowx4CcjpyHaxdlgh2Vq4kpTK0+s/juEGMs/q99CKj+zONr4mS/NJ0v8A==)https://192.168.72.160或hosts域名映射为https://cjmharbor.com。//cosign login 仓库地址 -u 用户名 -p 密码。//以签名Harbor镜像为例。
Rancher入门到精通-2.0 harbor镜像仓库原理和安装(转载)
隔壁老瓦的专栏
03-06 2683
目录 一:Harbor简介 1. docker registry的缺点: 2. Harbor优点 3. Harbor介绍 二:Harbor主要组件 三:Harbor架构 1. Harbor登录过程 2. Docker push 的过程 四:harbor镜像仓库部署 1. 安装harbor环境 2. 安装harobr镜像仓库 五:Harbor使用 2. 创建镜像项目kube...
Docker 容器入门
段小宝的博客
07-23 515
目录前言一、Docker 概述1.1 Docker是什么?1.2 Docker 设计宗旨1.3 Docker 核心概念镜像容器仓库1.4 文件系统总结 前言 一、Docker 概述 1.1 Docker是什么? 是一个开源的应用容器引擎,基于GO语言开发并遵循了 Apache2.0 协议开源。 是在 Linux容器里运行应用的开源工具,是一种轻量级的 “虚拟机" Docker 的容器技术可以在一台主机上轻松 为任何应用创建一个轻量级的、可移植的、自给自足的容器。 Docker 是一个开源的应用容器引擎,让
docker快速入门-docker系列一
m0_37959155的博客
12-22 766
docker快速入门
Kubernetes(K8S) 入门进阶实战完整教程
JustinMars的博客
03-15 2841
Kubernetes详细教程 1. Kubernetes介绍 1.1 应用部署方式演变 在部署应用程序的方式上,主要经历了三个时代: 传统部署:互联网早期,会直接将应用程序部署在物理机上 优点:简单,不需要其它技术的参与 缺点:不能为应用程序定义资源使用边界,很难合理地分配计算资源,而且程序之间容易产生影响 虚拟化部署:可以在一台物理机上运行多个虚拟机,每个虚拟机都是独立的一个环境 优点:程序环境不会相互产生影响,提供了一定程度的安全性 缺点:增加了操作系统,浪费了部分资源 容器化部署:
搭建Docker私有仓库(自签名方式)
09-30
为了能集中管理我们创建好的镜像,方便部署服务,我们会创建私有的Docker仓库。这篇文章主要介绍了搭建Docker私有仓库(自签名方式),具有一定的参考价值,感兴趣的小伙伴们可以参考一下
Kubernetes环境搭建(手动K8s集群安装配置、服务部署和管理使用详细步骤,入门K8s容器云平台架构)
热门推荐
pig2guang的博客
08-07 1万+
Kubernetes集群搭建详细过程前言搭建步骤一、各节点基础配置二、制作CA证书三、配置etcd四、在master节点上配置Kubernetes API服务五、在master节点上部署Controller Manager服务、Kubernetes Scheduler六、在master节点上部署kubectl命令行工具七、在Node节点上部署kubelet八、在Node节点上部署kube-prox...
OpenShift 4 - 为集群配置镜像签名功能,只能运行被签名的本地镜像
多恩斯基的博客
11-13 3358
《OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录配置签名环境安装镜像签名的Operator为集群指定签名用的 sigstore测试验证使用未签名镜像运行为签名镜像对本地镜像签名参考 本文先安装镜像签名 Operator,然后将 docker.io 的镜像导入到 OpenShift 本地,在强制 docker.io 的镜像必须签名。最后使用对来 docker.io 的本地进行签名并运行。 配置签名环境 安装镜像签名的Operator 执行命令下
【转】ARM Trusted Firmware分析——镜像签名/加密/生成、解析/解密/验签
叫好与叫座虽然不是对立面,但想在同一个作品中达到双重效果很难。
06-23 1478
生成fip.bin需要做如下工作工作: 编译certificates相关工具cert_create,生成证书。注意证书对应未加密的镜像。 如果需要加密,需要编译enctool工具encrypt_fw,用于对镜像文件进行加密,并加上加密头struct fw_enc_hdr。 fiptool工具生成fip.bin,使用cert_create生成的证书,如加密使用encrypt_fw加密后的镜像,否则使用原始镜像,加上FIP的TOC和Entry等信息。
linux代码签名,浅谈Linux容器镜像签名(示例代码)
weixin_35436076的博客
05-12 284
导读从根本上说,几乎所有的主要软件,即使是开源软件,都是在基于镜像容器技术出现之前设计的。这意味着把软件放到容器中相当于是一次平台移植。这也意味着一些程序可以很容易就迁移,而另一些就更困难。我大约在三年半前开展基于镜像容器相关工作。到目前为止,我已经容器化了大量应用。我了解到什么是现实情况,什么是迷信。今天,我想简要介绍一下 Linux 容器是如何设计的,以及谈谈镜像签名。Linux 容器是如...
如何给 Docker 镜像进行安全签名
easylife206的专栏
02-06 2778
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !幸运的是,Docker 通过一种称为 Docker 内容信任的功能来实现信任机制。在网络系统之间传输数据时...
通过docker cli 源码跟踪docker镜像签名
xuguokun1986的博客
08-10 606
Docker代码更新很快,Docker项目更名为moby,然后很多组件又从moby中拆分了出来。其中docker client的源码如下: https://github.com/docker/cli 目前最新的版本是18.09,可直接下载或通过gitclone下载。将项目放在如下目录:cli-master 1、入口文件在cmd/docker/docker.go func main() { ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值