5.17. Contêineres
A lista de busca padrão de registros em /etc/containers/registries.conf foi atualizada
A lista padrão de registros.search em /etc/containers/registries.conf foi atualizada para incluir apenas registros confiáveis que fornecem imagens de contêineres curados, corrigidos e mantidos pela Red Hat e seus parceiros.
A Red Hat recomenda sempre o uso de nomes de imagens totalmente qualificados, inclusive:
- O servidor de registro (nome DNS completo)
- Namespace
- Nome da imagem
-
Tag (por exemplo
register.redhat.io/ubi8/ubu:latest)
Ao utilizar nomes curtos, há sempre um risco inerente de falsificação. Por exemplo, um usuário quer tirar uma imagem chamada foobar de um registro e espera que ela venha do myregistry.com. Se o myregistry.com não for o primeiro na lista de busca, um atacante pode colocar uma imagem foobar diferente em um registro mais cedo na lista de busca. O usuário puxaria e executaria acidentalmente a imagem e o código do atacante, em vez do conteúdo pretendido. A Red Hat recomenda apenas adicionar registros que sejam confiáveis, ou seja, registros que não permitam que usuários desconhecidos ou anônimos criem contas com nomes arbitrários. Isto evita que uma imagem seja falsificada, agachada ou tornada insegura de outra forma.
Podman não depende mais do gancho do sistema ocito-gancho
Podman não precisa ou depende do pacote de gancho do sistema Oci que foi removido do módulo container-tools:rhel8 e container-tools:2.0.
(BZ#1645280)