日更第26日: 容器安全之不使用不安全的镜像仓库

描述

默认情况下，私有仓库被认为是安全的

隐患分析

镜像仓库建议使用TLS。 在/etc/docker/certs.d/<registry-name>/目录下，将镜像仓库的CA证书副本放置在Docker主机上。

不安全的镜像仓库是没有有效的镜像仓库证书或不使用TLS的镜像仓库。不应该在生产环境中使用任何不安全的镜像仓库。

不安全的镜像仓库中的镜像可能会被篡改，从而导致生产系统可能受到损害。此外，如果镜像仓库被标记为不安全，则docker pull，docker push和docker push命令并不能发现，那样用户可能无限期地使用不安全的镜像仓库而不会发现。

审计方式

[root@localhost ~]# cat /etc/docker/daemon.json |grep insecure-registries
     "insecure-registries":["gcr.azk8s.cn","dockerhub.azk8s.cn","quay.azk8s.cn","5twf62k1.mirror.aliyuncs.com","registry.docker-cn.com","registry-1.docker.io"],

修复建议

使用ssl签名的镜像仓库（如配置ssl证书的harbor）

参考文档

• Docker容器最佳安全实践白皮书（V1.0）
• Docker官方文档