Docker: certificate signed by unknown authority

Virtualizáció

Üdv,

Láttam a neten sokan futottak bele ilyenbe.

Egy "docker pull image" parancsnál jött elő. Ez pontosan mi? A hoszt gépen megváltozott a certificate?

  • 521 megtekintés

( makgab v | 2024. 10. 17., cs – 13:31 )

Annyit sikerült kiderítenem, hogy lehet:

  1. Nincs megfelelő CA tanúsítvány telepítve.
  2. A Docker daemon nem támogatja a tanúsítványt.
  3. A rendszer időzítése nem megfelelő.

A 2. esetben fel lehet venni a /etc/docker/daemon.json fájlba a nem megbízható hub címeket lehet írni (de nem biztos, hogy javasolt biztonsági okokból):

{
  "insecure-registries": ["your.registry.com"]
}

igen, nem javasolt, igy http-vel megy rá https helyett.

Amit én csináltam se jobb. készítettem local CA-t, SubCA-t és tanusítványt, betettem a trusted-certs-be (/etc/pki/ca-trust/source/anchors/) a két CA-t, majd update-ca-trust.

A legjobb ha szerzel egy olyan Certet aminek a CA-ja már benne van a trusted-store-ba, mondjuk LSE, de ezt belsö domain-ekre elég nehéz csinálni.

Viszont lassan nem tudod megkerülni, hogy legyen saját belsö PKI-d.

( gus | 2024. 10. 17., cs – 13:53 )

Szerkesztve: 2024. 10. 17., cs – 14:01

Szerintem érdemes lekérdezni, hogy ki a docker registry tanúsítvány kibocsátója:

openssl s_client -connect <registry_hostname>:<port> -showcerts | openssl x509 -issuer

Ha megbízhatónak tartod, akkor OS szinten fel lehet venni a megbízható CA-k közé, majd újraindítani a docker-t.
Ha esetleg eddig is ott volt, akkor lehet tovább nyomozni. :)

Szerk:
Ha nem akarod OS szinten felvenni, akkor a /etc/docker/certs.d/ könyvtár alá (kötött elnevezéssel) szintén fel tudod venni a megbízhatónak tartott CA-t.

( bazso | 2024. 10. 17., cs – 19:33 )

Ha egyéb nem jön be: a céged MITM tűzfalat használ (kinyitja az ssl-t, szűro, majd saját kulccsal visszacsomagolja, amit a menedzselt PC-k megesznek, de biztonságra adóbb programok nem), és a certje nincs helyben telepítve 

Jogos. Az elsö kérdésnek ennek kellett volna lennie:

docker hubról töltesz le, esetleg 3rd party (ghcr.io, stb) vagy saját helyi registry ?

a "your.registry.com" miatt feltételeztem hogy felhúzott egy sajátot (netán gitea / forgejo / gitlab / stb szervert). Amit fentebb írtam az a saját registry-re értettem.

a többire ott a MITM vagy a mastercard.

Akkor az van amit gus és bazso feszegetett. SSL Inspection van valahol (pl. proxy).

Saját CA-ja van és mindenkinek kiállít egy Certet ahova https-el mész, Windows-ra GPO-val telepítik a CA/SubCA Certeket ezért nem annyira szembetünö, linuxa már nem futotta (pláne ha nem is tudnak linuxodról).

Elkéred (megszerzed, pl böngészöböl lemened) a Cert Chaint-t és

1. beteszed a /etc/docker/certs.d/ könyvtárba (mint gus irta), lehet kell egy docker restart, nem tudom, nem így szoktam. Ez csak a dockert oldja meg

2. beteszed az /etc/pki/ca-trust/source/anchors/ könytárba, majd update-ca-trust

Mostanában már van egy új komponens is (well, nem annyira új, csak szokatlan): az ESET víruskereső Linuxos verziója növesztett magában egy kifelé-befelé szűrő proxyt, és mindent át akar erőltetni rajta, hát... inkább kevesebb, mint több sikerrel. De az egyik biztos jele ennek, ha tudod, hogy nincs előtted külön proxy szerver, és egy szép napon mégicsak elkezdesz unknown authority hibákat kapni, hogy hirtelen levődött egy proxy a saját gépeden - a víruskeresőnek köszönhetően.

Nem tudom, más víruskeresők kísérleteznek-e ezzel, de érdemes ránézni.

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

Valójában az ESET kicsit okosabb ennél, a tanusítvány ugyan zöld lesz, de az általa nem ismert tanusitványú site-okat letiltja teljesen a kommunikációt... szívtunk ezzel is sajnos.

A nehezítés, hogy ezt a funkciót Linuxos endpoint védelem esetén _kikapcsolni_ nem lehet... 

Blog | @hron84

valahol egy üzemeltetőmaci most mérgesen toppant a lábával 

via @snq-

( makgab v | 2024. 10. 24., cs – 09:10 )

Én nem figyeltem. Köszönöm a tippeket! Proxy-n nem volt engedve a domain. :)