大概昨天 10 月 5 号晚上 10 点左右在 Docker Hub 创建私有仓库并将镜像 Push 上去,睡前检查了 Downloads 数量为 1 。
10 月 6 号早上起来看了一下 Downloads 数量仍然为 1,但是挂上 Clash 的 Rule 模式代理之后连上 Linux 开发用服务器,被下载次数就一下子涨到 7 了。
尝试用 "Docker Hub"、"Private Repository" 和 "downloaded" 这些关键词搜了一下,只有这篇讨论描述了一样的情况:Private repo getting downloaded from docker.hub,回答中也没有有用的信息。
主要的操作步骤如下:
code-server 页面和 Docker Hub 页面的使用都走 Clash Rule 模式的代理,代理提供者为第三方。
code-server 页面和 Docker Hub 页面登录时的协议都是 HTTPS 。
中文社区和论坛中几乎没有描述过这一问题的,或者说几乎没有人出现这样的情况,只能根据我自己的操作步骤推测哪一步造成账号密码泄露了:
1 、Docker Hub 仓库存在某些安全措施,比如官方执行镜像漏洞扫描的时候会下载镜像......
2 、使用时某一步被中间人劫走了密码,涉及到的场所有 Rancher 、code-server 、GitHub Action 和 Docker Hub 。
1 、有碰到同样的情况并做过排查的吗,现在能期待的最好的结果就是官方扫描导致的下载次数增加了......
2 、配置文件中的敏感信息是一起打在 Docker 包里的多,还是运行时用环境变量传进去的多?(涉及到数据库的信息和 RabbitMQ 等中间件的信息,比较多)
3 、还有其他同时支持 GitHub Action 推送和 Rancher 镜像库的自建或者第三方 Docker 镜像库推荐吗?
这是一个专为移动设备优化的页面(即为了让你能够在 Google 搜索结果里秒开这个页面),如果你希望参与 V2EX 社区的讨论,你可以继续到 V2EX 上打开本讨论主题的完整版本。
V2EX 是创意工作者们的社区,是一个分享自己正在做的有趣事物、交流想法,可以遇见新朋友甚至新机会的地方。
V2EX is a community of developers, designers and creative people.