查看原文

本文介绍了下载运行不明来源的 docker 镜像是多么要不得的事情。有五百万个 docker image pull 发生在 Docker Hub 账号 docker123321 下，这批镜像拉下来后会尝试运行挖矿，或者尝试向 kubelet HTTP API 发送指令注入挖矿的脚本。文章列了很多证据，最后要树立一个观念：拉镜像下来运行意味着你正在把可执行的二进制数据下载下来运行，如果是从来没有用过的镜像，看看它的 FROM，ENTRYPOINT，看看它做了什么，另外它还得是自动构建出来的（而不是某个开发者在本机用别的 Dockerfile 构建推上去的）。每个 build 你都可以查 digest 和 command 看看和 Dockerfile 是否相符。如果用 Kubernetes 最要担心的事情是 kill chain，一系列事件发生时才会攻击生效，这要求安全要监控到这些特定的事情，一旦发现马上解决。