보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

Container Security 서적

2021. 6. 24. 16:38

보호되어 있는 글입니다.
내용을 보시려면 비밀번호를 입력하세요.

반응형

기본적으로 docker 이미지에 속하는 layer들은 읽기 전용이기 때문에 절대 변하지 않는다.

그렇기 때문에 해당 컨테이너에서 변경된 사항들은 최상위 레이어에 기록함으로써, 아래 레이어들에는 어떠한 영향도 주지 않습니다. 이로 인해 컨테이너에서 파일을 삭제한다고 하더라도 새로운 컨테이너에서는 기존 이미지 상태 그대로인 것입니다.

 

그런데 기존 이미지에서 항상 특정 파일이 제거되거나 추가가 되어야 하는 경우가 있을 수 있다.

이럴 때에는 docker commit 명령어를 통해 그러한 내용이 적용된 새로운 이미지를 생성할 수 있다.

 

 

1. 이미지를 통해 컨테이너 생성 후 파일 생성과 삭제 진행

 

 

 

2. 기존 이미지에서 변화된 내용 확인 및 저장

 - docker diff 명령어 : 지정된 컨테이너가 이미지에서 바뀐 사항 조회

 - docker commit 명령어 : docker diff 명령어를 통해 확인된 변경 사항을 적용시킨 이미지를 생성하는 방법

 

 

3. 변경사항이 적용되었는지 확인

 - 기존 이미지인 nginx로 컨테이너를 생성하였을 때에는 tar 파일이 존재하고 /tmp 내에 FILE_CREATE 파일이 없음을 확인

 - 변경사항이 저장된 without_tar 태그의 nginx로 컨테이너를 생성하였을 때에는 tar가 존재하지 않으며, /tmp 파일 내에 FILE_CREATE 파일이 존재함을 확인

 - docker commit 명령어를 통해서는 파일의 변화에 대해서만 적용이 가능하며, 파일 내 내용 수정에 대해서는 적용되지 않음을 확인함.

 

-----------------------------

참고 ) https://www.44bits.io/ko/post/how-docker-image-work

반응형
블로그 이미지

rootable

,

docker 관련 Q&A

Develope/docker 2021. 6. 23. 09:21
반응형

1. Container와 VM의 차이

VM vs Containers ( 출처 : docker.com )

- container : 별도의 Guest OS가 아닌 Docker Engine 위에서 동작하기 때문에 성능적으로 매우 개선되며, 메모리 용량도 적게 차지함. (반가상화 방식)

- Virtual Machine : Hypervisor라는 가상화 기능을 사용한 Guest OS를 이용하기 때문에 용량을 많이 차지하고 속도가 느리다는 단점이 있다. (전가상화 방식)

 

2. Container를 노리는 대표적인 공격

 - 크리덴셜 스터핑(credential stuffing)  : 공격자가 미리 획득한 사용자의 계정이나 비밀번호 등의 개인정보(Credential)을 해당 시스템에 무작위로 대입(Stuffing)하는 공격 방식

 - 타이포스쿼팅(typosquatting) : 악의적인 목적으로 인기 높은 도커 이미지와 똑같거나 비슷한 이름의 이미지를 등록해두고 개발자들이 실수로 받기를 노리는 공격 방식

참고) https://www.boannews.com/media/view.asp?idx=98496&page=1&kind=1 

 

컨테이너 노리는 사이버 공격자들의 움직임, 정교해지고 넓어졌다

컨테이너 환경과 도커(Docker) 이미지 공급망을 겨냥한 사이버 공격자들의 전략은 주로 2개로 나뉜다. 타이포스쿼팅(typosquatting)과 크리덴셜 스터핑(credential stuffing)이다. 컨테이너를 겨냥한 이 두

www.boannews.com

 

(참고) https://medium.com/dtevangelist/docker-%EA%B8%B0%EB%B3%B8-1-8-hello-docker-5165abd00a3d

반응형
블로그 이미지

rootable

,