Docker镜像篡改供应链攻击研究

已于 2022-06-21 22:11:46 修改
阅读量1.9k 收藏
点赞数
CC 4.0 BY-SA版权
分类专栏: 安全研发 文章标签: docker 容器 运维
于 2022-06-08 12:40:29 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/SHELLCODE_8BIT/article/details/125182293
本文详细介绍了Docker的Load和Pull流程,包括与仓库的交互过程,如身份验证、manifest请求和blob内容获取。同时,探讨了镜像层内容篡改的可能性,指出Docker在下载完成后会进行hash校验,防范供应链攻击。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Load流程篡改

直接对层添加文件会显示

root@ubuntu:/home/test/Desktop# docker load < ubuntu.tar
e59fc9495612: Loading layer  81.48MB/81.48MB
invalid diffID for layer 0: expected "sha256:e59fc94956120a6c7629f085027578e6357b48061d45714107e79f04a81a6f0c", got "sha256:bf91f6b8fee2b000c645e6e82b2308a352736520cc0d7cb5eaea6e20cf031f91"

Pull流程篡改

1.和仓库交互流程

如上图所示会和四个接口交互

  • ​​​​/v2/
  • /service/token
  • /v2/*/manifest/*
  • /v2/*/blobs/*

1.1 /v2/  仓库建立连接

GET http://192.168.1.171:80/v2/ HTTP/1.1
Host: 192.168.1.171:80
User-Agent: docker/20.10.7 go/g
了解本专栏 订阅专栏 解锁全文 超级会员免费看
《云原生安全攻防》-- 容器攻击案例:镜像投毒与Fork炸弹
07-20 668
在本节课程中,我们将介绍两个比较有意思的容器攻击案例,镜像投毒与Fork炸弹。在这个课程中,我们将学习以下内容:镜像投毒:构建恶意镜像,诱导用户拉取镜像创建容器Fork炸弹:Fork炸弹的攻击原理及防范措施。我们来介绍镜像投毒。攻击者将恶意代码注入到镜像文件中,构建出恶意镜像,当用户拉取到恶意镜像并运行容器时,恶意代码就会在容器启动过程中被执行,从而获取对容器环境的访问权限。与攻击容器应用相比,...
Docker 镜像签名将如何随着 Notary v2 发展
学海无涯苦作舟的博客
12-17 777
已签名的 Docker 镜像通过让用户检查他们下载的镜像是否真正来自您来增强生态系统的信任和安全性。尽管签名有明显的好处,但 Docker 用户的使用速度很慢,并且默认情况下未启用。 现在,公证人签名系统的新版本试图改变这一点。2019 年 12 月成立了多供应商工作组,以改善图像签名体验并解决原始实施中的一些问题。Notary v2于2021 年 10 月以 alpha形式发布。以下是它如何使签名与现代容器使用模式更加兼容。 什么是Notary ? Notary 是 Docker 于 2015 年开始的.
docker导入镜像报错:invalid diffID for layer xxx: expected “sha256:xxx“, got “sha256:xxx“(文件被更改过)
Dontla的博客
02-24 7893
参考文章:Invalid diffID error on loading docker image [root@ubuntu /home/yg/H7 HEOP]4# docker image load -i ./heop_devel_kit_ipc_h7_5.6.100_220216.tar cd81a32dcfbe: Loading layer [==================================================>] 3.072kB/3.072kB 9b7f8b
导入镜像出错:invalid diffID for layer 15:expected “sha256:
m0_45178662的博客
07-15 5368
导入镜像出现问题:invalid diffID for layer 15:expected "sha256
阿里云 registry 401 UNAUTHORIZED
小单的博客专栏
06-05 7698
需求:请求阿里云的镜像仓库,读取镜像的信息,直接读取肯定返回错误,毕竟仓库是私有的嘛。 既然是私有的,请求的时候,肯定要带上账号密码或者Token等这样的信息才可以。那么如何携带这些内容呢? 几经周折,过程不在赘述,下面直接给出方法: 一、现状(问题) 1、请求目标 https://registry.cn-shanghai.aliyuncs.com/v2/nuggets/nuggets-docke...
go-containerregistry不支持 harbor的 catalog,其实是harbor的问题
guoguangwu的专栏
11-23 697
go-containerregistry不支持 harbor的 catalog。其实是harbor自身的bug。如果使用token的方式来获取所有仓库列表会失败。harbor官方未作回应。https://github.com/goharbor/harbor/issues/17834
docker删除镜像
Cyanide11的博客
03-13 248
切换至根目录 查看正在运行的镜像 停止镜像进程 卸载镜像 查看镜像images 删除images [ljq@192 ~]$ su - root 密码: 上一次登录:六 3月 13 15:12:31 CST 2021:1 上 [root@192 ~]# docker ps -a CONTAINER ID IMAGE COMMAND CREATED .
Docker容器镜像安全最佳实践指南
WeiyiGeek 唯一极客IT知识分享
03-10 5007
文章目录:0x02 Docker 容器安全最佳实践1.主机安全配置1.1 更新docker到最新版本1.2 为容器创建一个单独的分区1.3 只有受信任的用户才能控制docker守护进程1.4 审计docker守护进程1.5 审计docker相关的文件和目录2.docker守护进程配置2.1 限制默认网桥上容器之间的网络流量2.2 设置日志级别为info2.3 允许 doc...
2024年专注docker安全 Security Scanning_docker security scanning
2401_84263282的博客
05-01 538
今天我们宣布 Docker Security Scanning(Docker安全扫描,原名项目鹦鹉螺)全面上市。Security Scanning 目前以一个服务附加在 Docker Cloud 私有仓库和位于Docker Hub的官方仓库。Security Scanning 为您的docker镜像积极地进行风险管理和提供详细的安全配置,并简化软件合规性。
docker镜像是如何导入的?
iUcool的博客
09-02 1315
镜像导入是由image/tarexport/load.go#tarexporter.Load()完成的以下代码参考github.com/docker/docker版本v0.0.0-20181129155816-baab736a3649主要是注册镜像信息以及解包镜像tar流到新root导出和保存的区别在于这意味着导出将不会包含USER、EXPOSE等Dockerfile里面的命令,也就无法转移镜像到另一台机器上了。
容器原理(搞懂 layerID,diffID,chainID,cache-id 是什么)
任我行的博客
03-07 774
这样做的好处是可以根据diffID检查layer文件的完整性,并且可以让相同diffIDlayer文件被不同镜像共享。通过上面的一些探索,我们已经知道了镜像是由多个layer组成的文件,并在容器启动时成为容器文件系统的运行环境——只读的rootfs。Docker镜像的文件内容和一些运行容器的配置文件组成了Docker容器的文件系统运行环境——rootfs。联合挂载技术可以在一个挂载点同时挂载多个文件系统,将挂载点的原目录与被挂载内容进行整合,使得最终可见的文件系统将会包含整合之后的各层的文件和目录。
Docker镜像的存储机制
sjy8207380的专栏
12-20 2379
Docker pull流程 docker发送image的名称+tag(或者digest)给registry服务器,服务器根据收到的image的名称+tag(或者digest),找到相应image的manifest,然后将manifest返回给docker docker得到manifest后,读取里面image配置文件的digest(sha256),这个sha256码就是image的ID { ...
curl 访问 private registry 的 api 获取所有镜像
chenhongloves的博客
10-28 2994
司用 harbar 搭建了docker 的 registry,想一目了然的知道有哪些镜像,但是又不想登录到 harbar 的 ui 在 n 个项目中一个一个看, 故采用 curl 命令来参看所有的镜像,结果告知UNAUTHORIZED, 用户名和密码不用怀疑,肯定对的哈。 $ curl -s --user "$U" 172.30.3.149/v2/_catalog | jq { "errors": [ { "code": "UNAUTHORIZED", ...
docker镜像深入理解
changhao
06-06 1062
大家好,本篇文章和大家聊下docker相关的话题~~ 工作中经常有关于docker镜像的问题,让人百思不解 1. docker镜像加载到系统中到哪里去了?docker load 加载镜像的流程是怎样的? 2. 为什么容器修改内容后,删除容器后再次开启容器内容消失了? 3. docker images查看的镜像大小与docker save后的大小不一致? 4. 通过docker build或docker pull后的镜像层的层级关系怎么查看? 5. docker save导出的镜像后如何查看到镜像
docker导入镜像时候遇到微坑
蓝翔顶级电脑技工
04-06 1万+
今天我从服务器中导出phalcon镜像,打算在本地用。 导出命令:docker save -o phalcon.tar technofiend/phalcon 再压缩tar.bz2 下载回来本地……100% 放入虚拟机再解压tar在本地虚拟机导入到docker,老是提示我file exists,可是我已经用docker rmi把镜像删除了。[root@centos wwwroot]# doc
Docker学习之Docker镜像常用操作命令(6)
程序猿壹号的博客
03-29 852
Docker学习之Docker镜像常用操作(4)
docker registry私有仓库的一些错误解决办法
热门推荐
Linux C/C++后台开发
08-12 2万+
Error response from daemon: login attempt to https://test.io:5000/v2/ failed with status: 401 Unauthorized 这种情况是用户名或者密码错误导致Error response from daemon: Get https://test.io:5000/v1/users/: x509: certifi
登录阿里云Docker Registry提示unauthorized: authentication required
@dongyu的博客
03-12 3863
    未经授权:身份验证要求,我估摸着也就是密码错误了,不记得之前有设置密码,作为初学者,研究这些大牛网站,感觉很吃力,东西太多了。。。 设置固定密码 设置完用这个密码登录就可以了 ...
如何验证Docker镜像的完整性?
最新发布
04-19
| Notary服务验证 | 企业级供应链安全 | ★★★★★ | ★★★★ | 需要 | #### 五、特殊场景处理 1. **私有仓库验证(结合引用[1]的登录操作)** ```bash # 配置私有仓库证书 mkdir -p /etc/docker/certs.d/...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

信安成长日记

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值