草庐IT

如何使用Docker Content Trust为容器确保安全?

布加迪 2023-03-29 原文

​译者 | 布加迪

审校 | 孙淑娟

在跨联网系统交换数据时,信任是一个关键问题。在通过像互联网这样不可靠的媒介进行交互时,为系统依赖的所有数据的发布者确保完整性尤为重要。需要强大的加密保证来保护数据,这时候Docker Content Trust(DCT)有了用武之地。

Docker(DCT)就基础架构中使用的软件类型和版本提供了强大的加密保证。Docker Content Trust随Docker版本1.8一同发布。

Docker Content Trust添加的安全措施可以检查容器镜像、存放应用程序组件的容器文件以及保存在Docker Hub等注册中心的内容的一致性。

借助注册中心,Docker Content Trust解决了两个问题:

  • 从远程存储库下载容器镜像的用户可能会上传含有恶意软件的镜像,但无法验证其完整性。
  • 其次,用户可能会将过期的容器上传到注册中心,这可能影响公司的互操作性、兼容性或性能。

DCT是如何运作的?

Docker Content Trust非常简单。Docker Content Trust基于Docker Notary工具来发布和管理可信任内容和更新框架(TUF),后者是一种确保软件更新系统安全的框架。Notary项目提供了客户机/服务器基础,用于建立信任,以验证和处理内容集合。

用户可以安全地获得发布者的公钥,然后使用公钥来验证内容。Notary依赖TUF进行安全的软件分发和更新操作。

Docker Content Trust密钥:

镜像标签的信任是通过使用签名密钥来管理的。DCT与镜像的TAG(标记)部分相关联。当DCT操作初次使用时,会生成一个密钥集。

以下密钥类组成一个密钥集:

  • 离线密钥,对镜像标记而言它是DCT的根。
  • 存储库或对标记签名的标签密钥
  • 服务器管理的密钥,比如时间戳密钥,用于确保存储库的新鲜度安全。

镜像标记的信任是通过使用签名密钥来管理的。DCT在Docker客户端中默认不启用。必须遵循以下步骤来设置DCT。

要想启用DCT,在您的Linux docker节点上发出以下命令:

$ export DOCKER_CONTENT_TRUST=1
DOCKER_CONTENT_TRUST=0 for disabling DCT。

启用Docker Content Trust的步骤:

  • 生成密钥
  • 将Signer添加到Docker存储库中
  • 对镜像签名

为了举例说明,我将使用Docker中心来执行启用Docker Content Trust的步骤。

第1步:登录到Docker Hub。

dev@srini:~$ docker login
Username: srinukolaparthi
Password: ******
Login Succeeded

第2步:生成信任密钥。可信任密钥基本上建立了您的用户身份,并授予您对存储库镜像的访问权。

Docker trust key generate <signer name>
dev@raghu:~$ docker trust key generate srinidev
Generating key for srinidev...
Enter passphrase for new srinidev key with ID 5259740: 
Repeat passphrase for new srinidev key with ID 5259740:
Successfully generated and loaded private key. Corresponding public key available: /Users/docker/srinidev.pub

第3步:将签名者添加到Docker存储库中。

docker–key <keyfile> <user name> <repo>
  dev@srini:~$ docker trust signer add --key srinidev.pub srinidev srinidev/springboot-test
Adding signer "srinidev" to srinidev/springboot...
Initializing signed repository for srinidev/springboot...
You are about to create a new root signing key passphrase. This passphrase
will be used to protect the most sensitive key in your signing system. Please
choose a long, complex passphrase and be careful to keep the password and the
key file itself secure and backed up. It is highly recommended that you use a
password manager to generate the passphrase and keep it safe. There will be no
way to recover this key. You can find the key in your config directory.
Enter passphrase for new root key with ID 443ffc9:
Repeat passphrase for new root key with ID 443ffc9:
Enter passphrase for new repository key with ID d6ef6dd:
Repeat passphrase for new repository key with ID d6ef6dd:
Successfully initialized "srinidev/springboot"
Successfully added signer: srinidev to srinidev/springboot

第4步:

dev@srini:~$ docker build -t srinidev/springboot:unsigned
Sending build context to Docker daemon  3.072kB
Step 1/2 : FROM busybox:latest
latest: Pulling from library/busybox
05669b0daf1fb: Pull complete
Digest: sha256:e26cd013274a657b86e706210ddd5cc1f82f50155791199d29b9e86e935ce135
Status: Downloaded newer image for busybox:latest
 ---> 93aa35aa1c79
Step 2/2 : CMD Hello this is busybox!
 ---> Running in g8ea53541c3f
Removing intermediate container k8ea53541c3f
 ---> 827bac2bb535
Successfully built 827bac2bb535
Successfully tagged srinidev/springboot:unsigned

第5步:将镜像推送到Docker存储库。

dev@srini:~$ docker push srinidev/springboot:unsigned

第6步:执行命令:$ export DOCKER_CONTENT_TRUST=1

第7步:运行Docker镜像,检查Docker Content Trust是否有效。

dev@srini:~$ docker run srinidev/springboot:unsigned
docker: No valid trust data for unsigned.
See 'docker run --help'.

由于镜像未签名,也没有提供签名数据,因此无法启动它,因为启用了Docker Content Trust。所以很明显,如果启用了DCT,它将允许用户在您的系统上拉取/运行镜像。

第8步:现在不妨测试和构建新的签名镜像。

dev@srini:~$ docker build -t srinidev/springboot:signed

第9步:使用以下命令对Docker镜像进行签名。

dev@srini:~$ docker trust sign srinidev/springboot:signed
Signing and pushing trust data for local image srinidev/springboot:signed, 
may overwrite remote trust data
The push refers to repository [docker.io/srinidev/springboot:signed]
a6d503001157: Layer already exists
signed: digest: 
sha256:e8d2db0f9cc124273e5f3bbbd2006bf2f3629953983df859e3aa8092134fa373 size: 567
Signing and pushing trust metadata
Enter passphrase for srinidev key with ID 5239740:
Successfully signed docker.io/srinidev/springboot:signed

DTS命令将生成签名,并将签名数据和镜像本身推送到Docker注册中心。基本上,它对镜像进行签名,还执行Docker推送。

第10步:运行新的Docker签名镜像。

dev@srini:~$ docker run srinidev/springboot:signed

结语

如果上述步骤很成功,表明Docker Content Trust奏效。要使用带有签名和认证镜像的远程存储库,用户必须启用选择加入的Docker Content Trust功能。

原文标题:How to Secure Containers Using Docker Content Trust,作者:Srinivas Kolaparthi


容器Contentspanstylecolor安全$应用安全安全$容器

有关如何使用Docker Content Trust为容器确保安全?的更多相关文章

  1. ruby - 如何使用 Nokogiri 的 xpath 和 at_xpath 方法 - 2

    我正在学习如何使用Nokogiri,根据这段代码我遇到了一些问题:require'rubygems'require'mechanize'post_agent=WWW::Mechanize.newpost_page=post_agent.get('http://www.vbulletin.org/forum/showthread.php?t=230708')puts"\nabsolutepathwithtbodygivesnil"putspost_page.parser.xpath('/html/body/div/div/div/div/div/table/tbody/tr/td/div

  2. ruby - 如何从 ruby​​ 中的字符串运行任意对象方法? - 2

    总的来说,我对ruby​​还比较陌生,我正在为我正在创建的对象编写一些rspec测试用例。许多测试用例都非常基础,我只是想确保正确填充和返回值。我想知道是否有办法使用循环结构来执行此操作。不必为我要测试的每个方法都设置一个assertEquals。例如:describeitem,"TestingtheItem"doit"willhaveanullvaluetostart"doitem=Item.new#HereIcoulddotheitem.name.shouldbe_nil#thenIcoulddoitem.category.shouldbe_nilendend但我想要一些方法来使用

  3. ruby - 使用 RubyZip 生成 ZIP 文件时设置压缩级别 - 2

    我有一个Ruby程序,它使用rubyzip压缩XML文件的目录树。gem。我的问题是文件开始变得很重,我想提高压缩级别,因为压缩时间不是问题。我在rubyzipdocumentation中找不到一种为创建的ZIP文件指定压缩级别的方法。有人知道如何更改此设置吗?是否有另一个允许指定压缩级别的Ruby库? 最佳答案 这是我通过查看ruby​​zip内部创建的代码。level=Zlib::BEST_COMPRESSIONZip::ZipOutputStream.open(zip_file)do|zip|Dir.glob("**/*")d

  4. ruby - 为什么我可以在 Ruby 中使用 Object#send 访问私有(private)/ protected 方法? - 2

    类classAprivatedeffooputs:fooendpublicdefbarputs:barendprivatedefzimputs:zimendprotecteddefdibputs:dibendendA的实例a=A.new测试a.foorescueputs:faila.barrescueputs:faila.zimrescueputs:faila.dibrescueputs:faila.gazrescueputs:fail测试输出failbarfailfailfail.发送测试[:foo,:bar,:zim,:dib,:gaz].each{|m|a.send(m)resc

  5. ruby-on-rails - 使用 Ruby on Rails 进行自动化测试 - 最佳实践 - 2

    很好奇,就使用ruby​​onrails自动化单元测试而言,你们正在做什么?您是否创建了一个脚本来在cron中运行rake作业并将结果邮寄给您?git中的预提交Hook?只是手动调用?我完全理解测试,但想知道在错误发生之前捕获错误的最佳实践是什么。让我们理所当然地认为测试本身是完美无缺的,并且可以正常工作。下一步是什么以确保他们在正确的时间将可能有害的结果传达给您? 最佳答案 不确定您到底想听什么,但是有几个级别的自动代码库控制:在处理某项功能时,您可以使用类似autotest的内容获得关于哪些有效,哪些无效的即时反馈。要确保您的提

  6. ruby - 在 Ruby 中使用匿名模块 - 2

    假设我做了一个模块如下:m=Module.newdoclassCendend三个问题:除了对m的引用之外,还有什么方法可以访问C和m中的其他内容?我可以在创建匿名模块后为其命名吗(就像我输入“module...”一样)?如何在使用完匿名模块后将其删除,使其定义的常量不再存在? 最佳答案 三个答案:是的,使用ObjectSpace.此代码使c引用你的类(class)C不引用m:c=nilObjectSpace.each_object{|obj|c=objif(Class===objandobj.name=~/::C$/)}当然这取决于

  7. ruby - 使用 ruby​​ 和 savon 的 SOAP 服务 - 2

    我正在尝试使用ruby​​和Savon来使用网络服务。测试服务为http://www.webservicex.net/WS/WSDetails.aspx?WSID=9&CATID=2require'rubygems'require'savon'client=Savon::Client.new"http://www.webservicex.net/stockquote.asmx?WSDL"client.get_quotedo|soap|soap.body={:symbol=>"AAPL"}end返回SOAP异常。检查soap信封,在我看来soap请求没有正确的命名空间。任何人都可以建议我

  8. python - 如何使用 Ruby 或 Python 创建一系列高音调和低音调的蜂鸣声? - 2

    关闭。这个问题是opinion-based.它目前不接受答案。想要改进这个问题?更新问题,以便editingthispost可以用事实和引用来回答它.关闭4年前。Improvethisquestion我想在固定时间创建一系列低音和高音调的哔哔声。例如:在150毫秒时发出高音调的蜂鸣声在151毫秒时发出低音调的蜂鸣声200毫秒时发出低音调的蜂鸣声250毫秒的高音调蜂鸣声有没有办法在Ruby或Python中做到这一点?我真的不在乎输出编码是什么(.wav、.mp3、.ogg等等),但我确实想创建一个输出文件。

  9. ruby-on-rails - 如何验证 update_all 是否实际在 Rails 中更新 - 2

    给定这段代码defcreate@upgrades=User.update_all(["role=?","upgraded"],:id=>params[:upgrade])redirect_toadmin_upgrades_path,:notice=>"Successfullyupgradeduser."end我如何在该操作中实际验证它们是否已保存或未重定向到适当的页面和消息? 最佳答案 在Rails3中,update_all不返回任何有意义的信息,除了已更新的记录数(这可能取决于您的DBMS是否返回该信息)。http://ar.ru

  10. ruby-on-rails - 'compass watch' 是如何工作的/它是如何与 rails 一起使用的 - 2

    我在我的项目目录中完成了compasscreate.和compassinitrails。几个问题:我已将我的.sass文件放在public/stylesheets中。这是放置它们的正确位置吗?当我运行compasswatch时,它不会自动编译这些.sass文件。我必须手动指定文件:compasswatchpublic/stylesheets/myfile.sass等。如何让它自动运行?文件ie.css、print.css和screen.css已放在stylesheets/compiled。如何在编译后不让它们重新出现的情况下删除它们?我自己编译的.sass文件编译成compiled/t

随机推荐