Docker將刪除開源組織的所有鏡像

Sysdig的安全研究者近日發現Docker Hub中暗藏著超過1600個惡意鏡像，可實施的攻擊包括加密貨幣挖礦、嵌入后門/機密信息、DNS劫持和網站重定向等。問題持續惡化Sysdig表示，到2022年，從Docker Hub提取的所有鏡像中有61%來自公共存儲庫，比2021年的統計數據增加了15%，因此用戶面臨的風險正在上升。

本文介紹了 12 個優化 Docker 鏡像安全性的技巧。每個技巧都解釋了底層的攻擊載體，以及一個或多個緩解方法。這些技巧包括了避免泄露構建密鑰、以非 root 用戶身份運行，或如何確保使用最新的依賴和更新等。

本文介紹了 12 個優化 Docker 鏡像安全性的技巧。每個技巧都解釋了底層的攻擊載體，以及一個或多個緩解方法。這些技巧包括了避免泄露構建密鑰、以非 root 用戶身份運行，或如何確保使用最新的依賴和更新等。

Palo Alto Network研究人員Aviv Sasson發現了30個惡意Docker映像，這些映像被下載了2000萬次，涉及加密劫持操作。專家通過檢查挖礦池來確定挖出到挖礦池帳戶中的加密貨幣的數量。* Docker Hub 是世界上最大的。在開采Monero的大多數攻擊中，威脅參與者使用XMRig礦工，但攻擊者還濫用了Hildegard和Graboid礦工。研究人員注意到，某些圖像針對不同的CPU體系結構或操作系統具有不同的標簽，從而使攻擊者可以為受害者的硬件選擇最佳的加密礦工。

Sysdig公司的研究人員深入研究了這個問題，試圖評估這個問題的嚴重性，報告發現的鏡像使用了某種惡意代碼或機制。遺憾的是，Docker Hub公共庫的規模不允許其操作人員每天仔細檢查所有上傳的內容，因此許多惡意鏡像并沒有被報告。Sysdig還注意到，大多數威脅分子只上傳幾個惡意鏡像，所以即使刪除了有風險的鏡像、封殺了上傳者，也不會對這個平臺的整體威脅狀況有顯著影響。

Docker是一個容器化平臺，通過操作系統級別的虛擬化技術，實現軟件的打包和容器化運行。借助Docker，開發人員能夠將應用程序以容器的形式進行部署，但在此之前需要構建Docker鏡像。只要熟悉相關Docker命令，開發人員就能輕松完成所有這些步驟，從而實現應用程序的容器化部署。本文將根據使用場景對 Docker 命令進行分類介紹。1 構建 Docker 鏡像構建 Docker 鏡像需要使用 Do

首先，對Docker架構以及基本安全特性進行介紹，分析了Docker面臨的安全威脅。由于Docker擁有輕量化、高效率和易部署的特點，目前已被廣泛應用于云計算和微服務架構中。本文對Docker安全相關的研究思路、方法和工具進行比較和分析，并指出未來可能的研究方向。此外，Iptables的限制范圍有限，容器網絡仍然容易受到數據鏈路層攻擊，如ARP欺騙等。

鏡像分析選擇要分析的鏡像為ubuntu的官方鏡像，首先導出鏡像，保存為ubuntu.tarsudo docker pull ubuntu. 上述鏈接簡述了每一個字段的意義，如config包含了鏡像生成容器時基礎的執行參數，Cmd為容器入口點的默認參數 等。我們主要關注的是?Dockerfile 中幾乎每條命令都會變成一個層，描述該命令對鏡像所做的更改。在ubuntu鏡像中，可以看到history列表實際上有兩層， 但是其中一層的empty_layer?true，這代表著本次操作不改變文件系統鏡像，不額外生成新的層，所以ubuntu鏡像實際上只有一層。