第2章コンテナーの構築およびセキュリティー保護

本章では、Docker コンテナーの構築および配布に関するセキュリティー上の懸念点について記載します。

Docker の未署名のバイナリー

警告

Docker の公式のバイナリーインストールは署名されていません。この点については本書が公開される時点で進展があることが期待されますが、変更がない場合には Docker の公式インストールは署名されていないという点に留意してください。

信頼されないコンテンツの危険性

RPM を使用するプロセスは、インストールの取得フェーズとインストールの実際のインストールフェーズに分かれています。しかし、Docker ワークフローでは取得とインストールが分かれていません。この問題に関連する CVE は多数あります。Docker イメージは (ほとんどの場合) tar として保存され、それらのイメージはユーザーが認識しないところで Docker デーモンをエスケープする場合があります。

Docker のプルはアクティブなプロセスです。RPM とは異なり、プロセスは分離されません。
Docker コンテナーは root で実行されます。信頼されているベンダー (Red Hat はその代表例) からのみ提供される Docker コンテンツを実行する必要があります。

Docker Hub のコンテナーは管理対象外

http://www.banyanops.com/blog/analyzing-docker-hub/ : コンテナーは Docker Hub にアップロードされますが、アップロード後のコンテンツはメンテナンスは Docker Hub では実行されません。メンテナンスは、Docker デーモンホストに参加するイメージ作成者の勤勉さとインテリジェンスにもっぱら依存することになります。

Where did the comment section go?

Red Hat's documentation publication system recently went through an upgrade to enable speedier, more mobile-friendly content. We decided to re-evaluate our commenting platform to ensure that it meets your expectations and serves as an optimal feedback mechanism. During this redesign, we invite your input on providing feedback on Red Hat documentation via the discussion platform.

Log in to Your Red Hat Account

Red Hat Account

Customer Portal

Select Your Language

Infrastructure and Management

Cloud Computing

Storage

JBoss Development and Management

JBoss Integration and Automation

Mobile

Services

Tools

Red Hat Product Security Center

Security Updates

Resources

Customer Portal Community

Customer Events

Stories

第2章コンテナーの構築およびセキュリティー保護

Where did the comment section go?

第2章 コンテナーの構築およびセキュリティー保護

Where did the comment section go?

第2章コンテナーの構築およびセキュリティー保護