大概昨天 10 月 5 号晚上 10 点左右在 Docker Hub 创建私有仓库并将镜像 Push 上去,睡前检查了 Downloads 数量为 1 。
10 月 6 号早上起来看了一下 Downloads 数量仍然为 1,但是挂上 Clash 的 Rule 模式代理之后连上 Linux 开发用服务器,被下载次数就一下子涨到 7 了。
尝试用 "Docker Hub"、"Private Repository" 和 "downloaded" 这些关键词搜了一下,只有这篇讨论描述了一样的情况:Private repo getting downloaded from docker.hub,回答中也没有有用的信息。
主要的操作步骤如下:
code-server 页面和 Docker Hub 页面的使用都走 Clash Rule 模式的代理,代理提供者为第三方。
code-server 页面和 Docker Hub 页面登录时的协议都是 HTTPS 。
中文社区和论坛中几乎没有描述过这一问题的,或者说几乎没有人出现这样的情况,只能根据我自己的操作步骤推测哪一步造成账号密码泄露了:
1 、Docker Hub 仓库存在某些安全措施,比如官方执行镜像漏洞扫描的时候会下载镜像......
2 、使用时某一步被中间人劫走了密码,涉及到的场所有 Rancher 、code-server 、GitHub Action 和 Docker Hub 。
1 、有碰到同样的情况并做过排查的吗,现在能期待的最好的结果就是官方扫描导致的下载次数增加了......
2 、配置文件中的敏感信息是一起打在 Docker 包里的多,还是运行时用环境变量传进去的多?(涉及到数据库的信息和 RabbitMQ 等中间件的信息,比较多)
3 、还有其他同时支持 GitHub Action 推送和 Rancher 镜像库的自建或者第三方 Docker 镜像库推荐吗?
1
sadfQED2 2021-10-06 12:24:56 +08:00 via Android
建议直接联系 docker hub 官方咨询
|
2
sadfQED2 2021-10-06 12:26:05 +08:00 via Android
2.运行配置文件最好有统一的配置中心,从配置中心读取,没有配置中心的话写环境变量
|
3
rabbirbot00 OP @sadfQED2 差点忘了官方......先去发工单看下。配置中心好像是很好的解决方案,等工单结果出了如果确定是他人下载就去了解下,感谢了!
|
4
paopjian 2021-10-06 13:04:59 +08:00
配置文件没有加密最好还是别上传的网络上,加密了都可能被破解呢
|
5
mritd 2021-10-06 15:11:02 +08:00 via iPhone
别慌,感觉像是 Docker Hub 自己什么调度出现的,我有好多镜像都是不可能有人知道的,每次 push 完就有下载
|
6
rabbirbot00 OP @paopjian 确实该注意了,之前一直都没有意识到全是随着项目一起更新到 GitHub 私库,想想后怕......
|
7
rabbirbot00 OP @mritd 现在最期望的就是 Docker Hub 自己操作导致的下载,发了工单等回复,如果真是自己调度出现的这也太吓人了 :(
|
8
Danswerme 2021-10-06 23:36:53 +08:00 via iPhone
蹲个后续
|