Docker images 不要随便拉下来运行

查看原文

本文介绍了下载运行不明来源的 docker 镜像是多么要不得的事情。有五百万个 docker image pull 发生在 Docker Hub 账号 docker123321 下,这批镜像拉下来后会尝试运行挖矿,或者尝试向 kubelet HTTP API 发送指令注入挖矿的脚本。文章列了很多证据,最后要树立一个观念:拉镜像下来运行意味着你正在把可执行的二进制数据下载下来运行,如果是从来没有用过的镜像,看看它的 FROM,ENTRYPOINT,看看它做了什么,另外它还得是自动构建出来的(而不是某个开发者在本机用别的 Dockerfile 构建推上去的)。每个 build 你都可以查 digest 和 command 看看和 Dockerfile 是否相符。如果用 Kubernetes 最要担心的事情是 kill chain,一系列事件发生时才会攻击生效,这要求安全要监控到这些特定的事情,一旦发现马上解决。