使用基础镜像Ubuntu:focal构建Docker容器;容器有postgressql数据库用于存储数据,apache 2用于处理HTTP请求。不幸的是,图像无法部署到生产,因为水扫描仪(安全工具)抱怨敏感文件
/etc/ssl/private/ssl-cert-snakeoil.key
如何保证集装箱的安全?已尝试设置运行容器的其他用户
w8ntj3qf1#
使用该映像不安全,因为它包含私钥。这意味着每个访问映像的人都拥有与您相同的私钥,因此可以解密任何捕获的流量。永远不要在图像中存储私钥。在第一次启动时使用您的入口点创建新的。如果您安装了ssl-cert包,请确保在安装该包的同一层/RUN中删除自动创建的“/etc/ssl/private/ssl-cert-snakeoil.key”密钥。
1条答案
按热度按时间w8ntj3qf1#
使用该映像不安全,因为它包含私钥。这意味着每个访问映像的人都拥有与您相同的私钥,因此可以解密任何捕获的流量。永远不要在图像中存储私钥。在第一次启动时使用您的入口点创建新的。如果您安装了ssl-cert包,请确保在安装该包的同一层/RUN中删除自动创建的“/etc/ssl/private/ssl-cert-snakeoil.key”密钥。