Comments 3
Я лично из статьи, извините, ничего не понял. Сорян. Кроме того, что плохо оставлять докер демон открытым для доступа извне (т.е. доступ по локальному сокеты = безопасные дефолты)
Если настройки точки входа некорректны (к примеру оставлены открытыми из Интернета), образ можно использовать как вектор атаки.
WAT?
что оставлено открытым из интернета?
В оригинале:
If a container’s entrypoint settings are misconfigured (i.e., leaving it exposed to the internet), it could be abused as an attack vector.
совсем другой смысл — "если настройки entrypoint контейнер неправильно заданы (т.е. контейнер запущен открытым для доступа из интернета), они могут быть использованы как вектор атаки", ну, или "этот контейнер может быть использован как вектор атаки" — здесь верны обе формулировки по сути
проверьте, что образы контейнеров подписаны и авторизованы,
в оригинале:
Ensure container images are signed and authenticated,
… совсем другой смысл — "если настройки entrypoint контейнер неправильно заданы (т.е. контейнер запущен открытым для доступа из интернета) ...
спасибо за замечание, конечно же это про контейнер, а не образ
Ensure container images are signed and authenticated,
поправил
Краткое содержание статьи: как отловили злоумышленников, которые на публичные сервисы не стесняясь залили свой софт, чтобы использовать ненастроенные сервера в качестве "доноров" процессорного времени для майнинга. Приведены листинги скриптов, указаны причины, описаны варианты защиты.
Как незакрытый Docker API и публичные образы от сообщества используются для распространения майнеров криптовалют