5.17. コンテナー
/etc/containers/registries.conf のデフォルトのレジストリー検索リストが更新されました。
/etc/containers/registries.conf の デフォルトの registries.search リストが更新され、Red Hat およびそのパートナーがキュレート、パッチ修正、保守を行うコンテナーイメージを提供する信頼できるレジストリーだけが追加されています。
Red Hat は、以下を含む完全修飾イメージ名を常に使用することを推奨します。
- レジストリーサーバー (完全 DNS 名)
- 名前空間
- イメージ名
-
タグ (例:
registry.redhat.io/ubi8/ubu:latest)
略称名を使用する場合には、レジストリーから foobar という名前のイメージをプルして、myregistry.com から取得していると想定するなど、なりすましの固有リスクが常に存在します。myregistry.com が検索リストの最初にない場合には、攻撃者は検索リストの前のほうに別の foobar イメージを配置することができてしまいます。目的のコンテンツではなく、攻撃者が配置したイメージやコードを間違ってぷるして実行する可能性があります。Red Hat は、不明なユーザーや匿名ユーザーが任意の名前でアカウントを作成できないように、信頼できるレジストリーだけを追加することを推奨します。これにより、イメージがなりすましやスクワッティングに使用されたり、または別の方法でセキュリティーを低下されないようにします。
Podman は oci-systemd-hook に依存しなくなりました。
Podman は、container-tools:rhel8 および container-tools:2.0 モジュールストリームから削除済みの oci-systemd-hook パッケージを必要としない、または依存しなくなりました。
(BZ#1645280)
このページには機械翻訳が使用されている場合があります (詳細はこちら)。