V2EX = way to explore
V2EX 是一个关于分享和探索的地方
现在注册
已注册用户请  登录
rabbirbot00
V2EX  ›  Docker

Docker Hub 上的私有镜像疑似被其他人下载,涉及到数据库等敏感信息想咨询下是否有应对措施

  •  
  •   rabbirbot00 · 2021-10-06 12:23:31 +08:00 · 2661 次点击
    这是一个创建于 1129 天前的主题,其中的信息可能已经有所发展或是发生改变。

    经过

    大概昨天 10 月 5 号晚上 10 点左右在 Docker Hub 创建私有仓库并将镜像 Push 上去,睡前检查了 Downloads 数量为 1 。
    10 月 6 号早上起来看了一下 Downloads 数量仍然为 1,但是挂上 Clash 的 Rule 模式代理之后连上 Linux 开发用服务器,被下载次数就一下子涨到 7 了。

    搜索

    尝试用 "Docker Hub"、"Private Repository" 和 "downloaded" 这些关键词搜了一下,只有这篇讨论描述了一样的情况:Private repo getting downloaded from docker.hub,回答中也没有有用的信息。

    回顾

    主要的操作步骤如下:

    1. 通过 code-server 的终端下载 GitHub 上的私有仓库并通过 docker build 命令构建镜像。
    2. 用 code-server 下的终端 docker login 后 docker push 推送至私有仓库。
    3. 网页端登录 Docker Hub 并检查是否推送成功。

    code-server 页面和 Docker Hub 页面的使用都走 Clash Rule 模式的代理,代理提供者为第三方。
    code-server 页面和 Docker Hub 页面登录时的协议都是 HTTPS 。

    推测

    中文社区和论坛中几乎没有描述过这一问题的,或者说几乎没有人出现这样的情况,只能根据我自己的操作步骤推测哪一步造成账号密码泄露了:
    1 、Docker Hub 仓库存在某些安全措施,比如官方执行镜像漏洞扫描的时候会下载镜像......
    2 、使用时某一步被中间人劫走了密码,涉及到的场所有 Rancher 、code-server 、GitHub Action 和 Docker Hub 。

    想咨询下大家

    1 、有碰到同样的情况并做过排查的吗,现在能期待的最好的结果就是官方扫描导致的下载次数增加了......
    2 、配置文件中的敏感信息是一起打在 Docker 包里的多,还是运行时用环境变量传进去的多?(涉及到数据库的信息和 RabbitMQ 等中间件的信息,比较多)
    3 、还有其他同时支持 GitHub Action 推送和 Rancher 镜像库的自建或者第三方 Docker 镜像库推荐吗?

    sadfQED2
        1
    sadfQED2  
       2021-10-06 12:24:56 +08:00 via Android
    建议直接联系 docker hub 官方咨询
    sadfQED2
        2
    sadfQED2  
       2021-10-06 12:26:05 +08:00 via Android
    2.运行配置文件最好有统一的配置中心,从配置中心读取,没有配置中心的话写环境变量
    rabbirbot00
        3
    rabbirbot00  
    OP
       2021-10-06 12:31:56 +08:00
    @sadfQED2 差点忘了官方......先去发工单看下。配置中心好像是很好的解决方案,等工单结果出了如果确定是他人下载就去了解下,感谢了!
    paopjian
        4
    paopjian  
       2021-10-06 13:04:59 +08:00
    配置文件没有加密最好还是别上传的网络上,加密了都可能被破解呢
    mritd
        5
    mritd  
       2021-10-06 15:11:02 +08:00 via iPhone
    别慌,感觉像是 Docker Hub 自己什么调度出现的,我有好多镜像都是不可能有人知道的,每次 push 完就有下载
    rabbirbot00
        6
    rabbirbot00  
    OP
       2021-10-06 15:48:54 +08:00
    @paopjian 确实该注意了,之前一直都没有意识到全是随着项目一起更新到 GitHub 私库,想想后怕......
    rabbirbot00
        7
    rabbirbot00  
    OP
       2021-10-06 15:50:32 +08:00
    @mritd 现在最期望的就是 Docker Hub 自己操作导致的下载,发了工单等回复,如果真是自己调度出现的这也太吓人了 :(
    Danswerme
        8
    Danswerme  
       2021-10-06 23:36:53 +08:00 via iPhone
    蹲个后续
    关于   ·   帮助文档   ·   博客   ·   API   ·   FAQ   ·   实用小工具   ·   2950 人在线   最高记录 6679   ·     Select Language
    创意工作者们的社区
    World is powered by solitude
    VERSION: 3.9.8.5 · 23ms · UTC 02:50 · PVG 10:50 · LAX 18:50 · JFK 21:50
    Developed with CodeLauncher
    ♥ Do have faith in what you're doing.