Pubblica un'immagine per github con keypair rsa, quali sono i rischi per la sicurezza? (NON PRODUZIONE)

0

Ho Dockerfile per un'immagine che vorrei pubblicare su docker hub in modo che possa essere facilmente disponibile per gli utenti senza creare l'immagine. Il tutto è pensato per uso del labbing e del tutorial, NON per la produzione.

È possibile accedere al contenitore eseguito da quell'immagine tramite SSH utilizzando la chiave pubblica, per questo la chiave pubblica deve essere generata e inserita nella directory Dockerfile prima dell'esportazione nell'hub docker, senza che dockerhub non possa creare l'immagine.

Vorrei generare una coppia di chiavi separate (pubblica + privata) dal mio PC, e renderle disponibili per gli utenti. Ovviamente la coppia di chiavi è solo per l'immagine che sto pubblicando.

Sebbene ciascuna coppia di chiavi sia diversa, esiste un rischio per la sicurezza di esporre la chiave segreta?

    
posta AJN 05.10.2015 - 03:47
fonte

1 risposta

2

Deve presumere che la chiave sia stata raccolta al momento del caricamento. Suggerisci uno script di prima esecuzione.

Sembra che ci siano dei bot che filtrano per chiavi Amazon EC2 su GitHub

Quindi presumo che le tue chiavi RSA saranno raccolte da un bot simile. Non appena carichi l'immagine.

The whole thing is meant for labbing and tutorial purpose, NOT production.

Questo non ha mai impedito alle persone di implementare.

Se vuoi maggiore tranquillità, allora incorpora un antidoto tecnico a questo.

Come uno script di prima esecuzione che genera la generazione di singole chiavi al primo avvio. (Sia per SSH pubkey-auth o SSH password-auth.)

    
risposta data 05.10.2015 - 11:19
fonte

Leggi altre domande sui tag