在跨联网系统交换数据时,信任是一个关键问题。在通过像互联网这样不可靠的媒介进行交互时,为系统依赖的所有数据的发布者确保完整性尤为重要。需要强大的加密保证来保护数据,这时候Docker Content Trust(DCT)有了用武之地。
Docker(DCT)就基础架构中使用的软件类型和版本提供了强大的加密保证。Docker Content Trust随Docker版本1.8一同发布。
Docker Content Trust添加的安全措施可以检查容器镜像、存放应用程序组件的容器文件以及保存在Docker Hub等注册中心的内容的一致性。
借助注册中心,Docker Content Trust解决了两个问题:
- 从远程存储库下载容器镜像的用户可能会上传含有恶意软件的镜像,但无法验证其完整性。
- 其次,用户可能会将过期的容器上传到注册中心,这可能影响公司的互操作性、兼容性或性能。
DCT是如何运作的?
Docker Content Trust非常简单。Docker Content Trust基于Docker Notary工具来发布和管理可信任内容和更新框架(TUF),后者是一种确保软件更新系统安全的框架。Notary项目提供了客户机/服务器基础,用于建立信任,以验证和处理内容集合。
用户可以安全地获得发布者的公钥,然后使用公钥来验证内容。Notary依赖TUF进行安全的软件分发和更新操作。
Docker Content Trust密钥:
镜像标签的信任是通过使用签名密钥来管理的。DCT与镜像的TAG(标记)部分相关联。当DCT操作初次使用时,会生成一个密钥集。
以下密钥类组成一个密钥集:
- 离线密钥,对镜像标记而言它是DCT的根。
- 存储库或对标记签名的标签密钥
- 服务器管理的密钥,比如时间戳密钥,用于确保存储库的新鲜度安全。
镜像标记的信任是通过使用签名密钥来管理的。DCT在Docker客户端中默认不启用。必须遵循以下步骤来设置DCT。
要想启用DCT,在您的Linux docker节点上发出以下命令:
$ export DOCKER_CONTENT_TRUST=1
DOCKER_CONTENT_TRUST=0 for disabling DCT。
启用Docker Content Trust的步骤:
- 生成密钥
- 将Signer添加到Docker存储库中
- 对镜像签名
为了举例说明,我将使用Docker中心来执行启用Docker Content Trust的步骤。
第1步:登录到Docker Hub。
dev@srini:~$ docker login
Username: srinukolaparthi
Password: ******
Login Succeeded
第2步:生成信任密钥。可信任密钥基本上建立了您的用户身份,并授予您对存储库镜像的访问权。
Docker trust key generate <signer name>
dev@raghu:~$ docker trust key generate srinidev
Generating key for srinidev...
Enter passphrase for new srinidev key with ID 5259740:
Repeat passphrase for new srinidev key with ID 5259740:
Successfully generated and loaded private key. Corresponding public key available: /Users/docker/srinidev.pub
第3步:将签名者添加到Docker存储库中。
docker–key <keyfile> <user name> <repo>
dev@srini:~$ docker trust signer add --key srinidev.pub srinidev srinidev/springboot-test
Adding signer "srinidev" to srinidev/springboot...
Initializing signed repository for srinidev/springboot...
You are about to create a new root signing key passphrase. This passphrase
will be used to protect the most sensitive key in your signing system. Please
choose a long, complex passphrase and be careful to keep the password and the
key file itself secure and backed up. It is highly recommended that you use a
password manager to generate the passphrase and keep it safe. There will be no
way to recover this key. You can find the key in your config directory.
Enter passphrase for new root key with ID 443ffc9:
Repeat passphrase for new root key with ID 443ffc9:
Enter passphrase for new repository key with ID d6ef6dd:
Repeat passphrase for new repository key with ID d6ef6dd:
Successfully initialized "srinidev/springboot"
Successfully added signer: srinidev to srinidev/springboot
第4步:
dev@srini:~$ docker build -t srinidev/springboot:unsigned
Sending build context to Docker daemon 3.072kB
Step 1/2 : FROM busybox:latest
latest: Pulling from library/busybox
05669b0daf1fb: Pull complete
Digest: sha256:e26cd013274a657b86e706210ddd5cc1f82f50155791199d29b9e86e935ce135
Status: Downloaded newer image for busybox:latest
---> 93aa35aa1c79
Step 2/2 : CMD Hello this is busybox!
---> Running in g8ea53541c3f
Removing intermediate container k8ea53541c3f
---> 827bac2bb535
Successfully built 827bac2bb535
Successfully tagged srinidev/springboot:unsigned
第5步:将镜像推送到Docker存储库。
dev@srini:~$ docker push srinidev/springboot:unsigned
第6步:执行命令:$ export DOCKER_CONTENT_TRUST=1
第7步:运行Docker镜像,检查Docker Content Trust是否有效。
dev@srini:~$ docker run srinidev/springboot:unsigned
docker: No valid trust data for unsigned.
See 'docker run --help'.
由于镜像未签名,也没有提供签名数据,因此无法启动它,因为启用了Docker Content Trust。所以很明显,如果启用了DCT,它将允许用户在您的系统上拉取/运行镜像。
第8步:现在不妨测试和构建新的签名镜像。
dev@srini:~$ docker build -t srinidev/springboot:signed
第9步:使用以下命令对Docker镜像进行签名。
dev@srini:~$ docker trust sign srinidev/springboot:signed
Signing and pushing trust data for local image srinidev/springboot:signed,
may overwrite remote trust data
The push refers to repository [docker.io/srinidev/springboot:signed]
a6d503001157: Layer already exists
signed: digest:
sha256:e8d2db0f9cc124273e5f3bbbd2006bf2f3629953983df859e3aa8092134fa373 size: 567
Signing and pushing trust metadata
Enter passphrase for srinidev key with ID 5239740:
Successfully signed docker.io/srinidev/springboot:signed
DTS命令将生成签名,并将签名数据和镜像本身推送到Docker注册中心。基本上,它对镜像进行签名,还执行Docker推送。
第10步:运行新的Docker签名镜像。
dev@srini:~$ docker run srinidev/springboot:signed
结语
如果上述步骤很成功,表明Docker Content Trust奏效。要使用带有签名和认证镜像的远程存储库,用户必须启用选择加入的Docker Content Trust功能。
原文How to Secure Containers Using Docker Content Trust,作者:Srinivas Kolaparthi
免责声明:
① 本站未注明“稿件来源”的信息均来自网络整理。其文字、图片和音视频稿件的所属权归原作者所有。本站收集整理出于非商业性的教育和科研之目的,并不意味着本站赞同其观点或证实其内容的真实性。仅作为临时的测试数据,供内部测试之用。本站并未授权任何人以任何方式主动获取本站任何信息。
② 本站未注明“稿件来源”的临时测试数据将在测试完成后最终做删除处理。有问题或投稿请发送至: 邮箱/279061341@qq.com QQ/279061341
