第1章 概要

素 (naked) の状態で使用される docker pull は危険なコマンドになる可能性があります。Docker はソフトウェアの取得とソフトウェアのインストールをほとんど区別しません。これは (たとえば) RPM の場合と異なります。RPM では、これをインストールしない限り、wget を使用してマルウェアを含む RPM を取得しても問題はありません。ただし、Docker を使用してマルウェアを取得するのは危険です。取得の動作はインストールの動作と機能的に同等です。

コンテナーを、取得時に特権付きで開始されるソフトウェアであると考えてください。コンテナーでは設定の操作が行われた後にのみ特権が解除されます。複数コンテナーの分離は通常は任意で行われ、デフォルトでは分離されません。

docker pull コマンドを使用する際は注意してください。

また、docker pull コマンドの使用に危険が伴う理由を理解しておく必要があります。

コンテナーが RH レジストリーにない場合、docker pull は docker.io レジストリーにフェールオーバーします。Red Hat は docker.io から派生するコンテナーのセキュリティーまたは信頼性を検証しません (Docker Inc. も同様です)。イメージの名前付け規則 のセクションも参照してください。

Red Hat レジストリー以外の場所からイメージを取得する場合、docker pull の使用を避けてください。可能な場合は、 docker load および docker save を使用します。docker load および docker save を tarball で使用し、それらを Fedora 内で確認することができます。

docker load および docker save を docker pull の代わりに使用する必要がある理由として、docker load および docker save の使用は、docker pull を実行する場合に Docker Hub へのシステム公開時に避けられないセキュリティーの脆弱性を防ぐ手段となります。

適切なコンテナーの場所および docker pull を使用する際に注意する点については、2014 年 12 月 18 日付の Trevor Jay 氏による Red Hat Security Blog の掲載記事 Before You Initiate a "docker pull" を参照してください。

$ sudo docker load -i input.tar

$ sudo docker save -o output.tar