如何验证docker基础图像的真实性?

时间:2018-01-31 15:38:37

标签: security docker checksum

我们如何确保例如ubuntu:latest的docker基础映像没有损坏?那是如何检查docker基础图像的真实性?

3 个答案:

答案 0 :(得分:2)

校验和验证

docker pull使用Checksum验证每个图层的下载。它会检测到损坏的下载。

$ docker pull ubuntu:latest 
latest: Pulling from library/ubuntu
1be7f2b886e8: Downloading [=====>                                             ]  4.865MB/42.86MB
6fbc4a21b806: Download complete 
c71a6f8e1378: Download complete 
4be3072e5a37: Verifying Checksum  <<-- It verifies Checksum 
06c6d2f59700: Download complete

因此,您无需检查已拉动图像的损坏位置

Docker中的内容信任

内容信任提供了将数字签名用于发送到远程Docker注册表和从远程Docker注册表接收的数据的功能。这些签名允许客户端验证特定图像标签的完整性和发布者。

启用内容信任后,在拉

后在客户端上进行推送和验证后,会在客户端上进行签名 
$ export DOCKER_CONTENT_TRUST=1; docker pull ubuntu:latest

Pull (1 of 1): ubuntu:latest@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696: Pulling from library/ubuntu
Digest: sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
Status: Image is up to date for ubuntu@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696
Tagging ubuntu@sha256:e27e9d7f7f28d67aa9e2d7540bdc2b33254b452ee8e60f388875e5b7d9b2b696 as ubuntu:latest

详细了解content_trust

答案 1 :(得分:0)

启用docker content trust,然后它只从Docker注册表中提取受信任的映像。那只是从注册表中提取的签名图像。在启用之前,Docker还会提取不受信任的图像。 

export DOCKER_CONTENT_TRUST=1

在Docker中心还要检查要提取的图像的Docker Security扫描结果,并使用扫描结果中没有任何安全漏洞的图像。以下链接将提供有关它的更多信息。 https://docs.docker.com/docker-hub/official_repos/#should-i-use-official-repositories

答案 2 :(得分:-1)

您可以使用Docker Hub和docker搜索命令

查看官方图像 
docker@default:~$ docker search ubuntu
NAME                                                   DESCRIPTION                                     STARS               OFFICIAL            AUTOMATED
ubuntu                                                 Ubuntu is a Debian-based Linux operating s...   7175                [OK]

docker docsdocker github

中的模式详细信息
相关问题
最新问题