docker login 密码加密保存

credentials store企业中使用镜像仓库，通常都需要开启认证，认证凭据可能是用户在企业中通用的账户。但docker login以后，会在 .docker/config.json 中保存base64以后的用户名、密码，这样，在一些多人使用的服务器上，就会出现账号泄露的问题。有没有解决方法呢？docker提供credentials store，也就是讲密码存储到外置的credentials

琦彦

5227人浏览 · 2020-07-10 17:56:41

琦彦 · 2020-07-10 17:56:41 发布

credentials store

企业中使用镜像仓库，通常都需要开启认证，认证凭据可能是用户在企业中通用的账户。但docker login以后，会在 .docker/config.json 中保存base64以后的用户名、密码，这样，在一些多人使用的服务器上，就会出现账号泄露的问题。

有没有解决方法呢？

docker提供credentials store，也就是讲密码存储到外置的credentials store中。

目前支持如下几种：

D-Bus Secret Service: https://github.com/docker/docker-credential-helpers/releases
Apple macOS keychain: https://github.com/docker/docker-credential-helpers/releases
Microsoft Windows Credential Manager: https://github.com/docker/docker-credential-helpers/releases
pass: https://github.com/docker/docker-credential-helpers/releases

对于linux服务器来说，只能选择pass，因为D-Bus需要X11支持，而Apple和Microsoft看上去就不像是给Linux准备的。

Linux通过pass配置credentials store

以下是配置步骤。

1、安装gnupg2和pass

sudo apt install gnupg2 pass

2、安装docker-credential-pass

如下是0.6.3版本的下载地址，下载的是amd64的docker-credential-pass（不是上面的pass）。

wget https://github.com/docker/docker-credential-helpers/releases/download/v0.6.3/docker-credential-pass-v0.6.3-amd64.tar.gz

下载后，解压，并将docker-credential-pass文件拷贝到/usr/bin/目录下，添加可执行权限。

3、登出docker hub

$ docker logout
Removing login credentials for https://index.docker.io/v1/

4、修改docker配置，增加`"credsStore": "pass"`

··· $ cat ~/.docker/config.json { “auths”: {}, “credsStore”: “pass”, “HttpHeaders”: { “User-Agent”: “Docker-Client/19.03.6 (linux)” } } ···

5、gpg2

生成GPG keypaire。记住这里设置的密码，这个密码是用来保存docker密码的。

$ gpg2 --full-generate-key
gpg2 --full-generate-key
gpg (GnuPG) 2.2.4; Copyright (C) 2017 Free Software Foundation, Inc.
This is free software: you are free to change and redistribute it.
There is NO WARRANTY, to the extent permitted by law.

Please select what kind of key you want:
   (1) RSA and RSA (default)
   (2) DSA and Elgamal
   (3) DSA (sign only)
   (4) RSA (sign only)
Your selection?
...

生成后可以gpg2 -k查看。

$ gpg2 -k
gpg: checking the trustdb
gpg: marginals needed: 3  completes needed: 1  trust model: pgp
gpg: depth: 0  valid:   1  signed:   0  trust: 0-, 0q, 0n, 0m, 0f, 1u
/home/bottle/.gnupg/pubring.kbx
-------------------------------
pub   rsa3072 2020-06-20 [SC]
      4B65C16E5349EC64D77A9EB1C1E8818FCC8126B8
uid           [ultimate] silenceshell <me@ieevee.com>
sub   rsa3072 2020-06-20 [E]

6、初始化pass

$ pass init me@ieevee.com
mkdir: created directory '/home/bottle/.password-store/'
Password store initialized for me@ieevee.com

7、docker login

登录后，查看 .docker/config.json，可以看到auths中没有保存用户名和密码信息。

$ cat ~/.docker/config.json
{
	"auths": {
		"https://index.docker.io/v1/": {}
	},
	"HttpHeaders": {
		"User-Agent": "Docker-Client/19.03.6 (linux)"
	},
	"credsStore": "pass"
}

之后，就可以使用该用户的身份，进行docker后续的操作了。

Ref：

Using a credential store for DockerHub login

向您推荐>>Eolink开发者社区

权威｜前沿｜技术｜干货｜国内首个API全生命周期开发者社区

更多推荐

ELK实现containerd的容器日志采集展示【基于logging的全栈监测】

企业级ELK Stack构建介绍

云原生

深入理解 Mocha 测试框架：从零实现一个 Mocha

前言什么是自动化测试自动化测试在很多团队中都是Devops环节中很难执行起来的一个环节，主要原因在于测试代码的编写工作很难抽象，99%的场景都需要和业务强绑定，而且写测试代码的编写工作量往往比编写实际业务代码的工作量更多。在一些很多业务场景中投入产出比很低，适合写自动化测试的应该是那些中长期业务以及一些诸如组件一样的基础库。自动化测试是个比较大的概念，其中分类也比较多，比如单元测试，端对端测试，集

云原生

(20200916 Solved)docker-compose up创建容器自动退出

问题描述如题，创建容器后自动退出了。并且docker start container无效解决方案原因是缺失了控制终端的配置，需要在docker-compose.yml中增加tty:true ，有时候这样也不行，需要再增加一个command:/bin/bash，命令不一定是这个，需要是一个不会退出的命令，然后用-d后台启动容器。Referencesdocker-compose启动容器后自动退出...