经过
大概昨天 10 月 5 号晚上 10 点左右在 Docker Hub 创建私有仓库并将镜像 Push 上去,睡前检查了 Downloads 数量为 1 。
10 月 6 号早上起来看了一下 Downloads 数量仍然为 1,但是挂上 Clash 的 Rule 模式代理之后连上 Linux 开发用服务器,被下载次数就一下子涨到 7 了。
搜索
尝试用 "Docker Hub"、"Private Repository" 和 "downloaded" 这些关键词搜了一下,只有这篇讨论描述了一样的情况:Private repo getting downloaded from docker.hub,回答中也没有有用的信息。
回顾
主要的操作步骤如下:
- 通过 code-server 的终端下载 GitHub 上的私有仓库并通过 docker build 命令构建镜像。
- 用 code-server 下的终端 docker login 后 docker push 推送至私有仓库。
- 网页端登录 Docker Hub 并检查是否推送成功。
code-server 页面和 Docker Hub 页面的使用都走 Clash Rule 模式的代理,代理提供者为第三方。
code-server 页面和 Docker Hub 页面登录时的协议都是 HTTPS 。
推测
中文社区和论坛中几乎没有描述过这一问题的,或者说几乎没有人出现这样的情况,只能根据我自己的操作步骤推测哪一步造成账号密码泄露了:
1 、Docker Hub 仓库存在某些安全措施,比如官方执行镜像漏洞扫描的时候会下载镜像......
2 、使用时某一步被中间人劫走了密码,涉及到的场所有 Rancher 、code-server 、GitHub Action 和 Docker Hub 。
想咨询下大家
1 、有碰到同样的情况并做过排查的吗,现在能期待的最好的结果就是官方扫描导致的下载次数增加了......
2 、配置文件中的敏感信息是一起打在 Docker 包里的多,还是运行时用环境变量传进去的多?(涉及到数据库的信息和 RabbitMQ 等中间件的信息,比较多)
3 、还有其他同时支持 GitHub Action 推送和 Rancher 镜像库的自建或者第三方 Docker 镜像库推荐吗?
Select Language