如何为Docker设置安全的凭据存储
作为容器开发人员,有时必须存储应用程序或服务的凭据。如果您使用Docker的方式要求您登录到存储库,则尤其如此。如果从框中使用Docker,则这些登录凭据将存储在纯文本中。这显然是一个你需要避免的安全问题。
你能做什么?
幸运的是,有一种方法可以保护这些密码。这不是一个非常简单的过程,但也不是过度挑战。我想给您介绍一下在Docker中启用安全凭据存储的过程。我将在UbuntuServer18.04上演示,但平台不重要,只要它支持码头容器引擎。
见:Windows10安全性:企业领袖指南(Tech Republic Premium)
你唯一需要做的就是:
一个运行中的Docker实例
拥有sudo特权的用户
在进入安全过程之前,我们需要安装一个工具来帮助产生熵。我们必须这样做,因为我们在一个无头服务器平台上。如果您要在桌面发行版上完成本教程,则不必安装此工具,因为您可以通过移动窗口并在桌面上键入来为GPG键生成足够的熵。
没有GUI,您需要安装带有命令的rng工具:
安装完成后,使用命令生成所需的熵:
接下来,安装带有命令的传递工具:
现在我们可以用命令生成一个新的GPG键:
回答以下关键问题:
键的类型(选择默认)
键大小(选择默认)
密钥有效性(选择默认)
通过键入y保存值。
接下来,键入名称、电子邮件地址、可选注释,然后键入O以保存密钥。您将最终被要求为密钥输入一个新的密码。
现在是建立安全凭证存储的时候了。以下是做到这一点的步骤:
在安装了docker-credential-helpers之后,负责、注销并重新登录到服务器,然后使用该命令创建一个新目录:
接下来,必须初始化传递工具。要做到这一点,请使用以下命令定位您的GPG ID:
找到与要使用的键关联的ID,然后用命令初始化传递:
其中String是您希望与凭据存储相关联的GPG密钥ID。
现在,我们将使用命令为凭据存储创建一个密码:
生成密码后,使用该命令创建一个新的配置文件:
在新文件中添加以下内容:
保存并关闭文件。
最后,您现在可以使用命令登录到Docker:
登录后,您的docker凭据将保存在加密存储中,不会以纯文本出现在~/.docker/config.json文件中。享受为您的Docker部署添加的安全层。
通过跟上最新的网络安全新闻、解决方案和最佳实践,加强您的组织的IT安全防御。星期二和星期四交货