[Container] 무심코 Dockerfile 에 복사한 credentials... 안전할까?

 

 

개발을 하는데 있어 컨테이너는 더 이상 빠질 수 없을 만큼 중요한 개념이 되었습니다. 그리고 Docker 는 컨테이너 매니지 툴 중 가장 대표적이라고 볼 수 있죠.

 

컨테이너를 실행하기 위해선 이미지가 필요하고 보편적으로 Docker 를 통해 이미지를 만들게 됩니다. Dockerfile 에 작성 한 후 Docker 커맨드를 이용하면 이미지가 만들어지고 아주 쉽게 컨테이너를 실행할 수 있습니다.

 

이미지를 빌드 하는 데 있어서 물론 경량화도 중요하지만, 그 못지 않게 이미지 보안도 중요합니다.

 

--previliged 권한을 부여하는 걸 지양하고, Dockerfile 에 직접적으로 crendentials 관련한 정보를 추가(COPY) 하는 걸 주의해야 합니다.

 

trivy 를 이용하면 손쉽게 이미지의 취약점 검사를 할 수 있습니다.

 

이번 글에서는 왜 Dockerfile 을 통해 이미지를 빌드할 때 crendentials 와 같은 민감한 데이터를 추가(COPY) 하면 안되는지 알아보려고 합니다.

 

그럼 렛츠두더코드~

렛츠두더코드~

 

 

OverlayFS

---

 

들어가기 앞서 먼저 컨테이너의 핵심 구조인 OverlayFS 에 대해서 알아볼 필요가 있습니다.

 

overlayFS

 

크게 lower dir, upper dir, merged dir 가 존재합니다.

 

lower dir 은 read-only 로 마운트되는 레이어들이 존재하고, upper dir 은 read-write 권한이 있는 레이어로 파일에 대한 생성/수정/삭제는 모두 upper dir 에서 일어나게 됩니다.

 

그리고 upper dir 에서의 작업이 끝나면 lower dir 로 변경되며, 이런식으로 레이어가 하나하나씩 쌓이게 됩니다.

 

이렇게 만들어진 레이어는 하나로 merged 되어 merged dir 에 존재하게 됩니다.

 

docker run 을 통해 컨테이너를 실행하면 모든 레이어는 lower dir 이고, docker exec 를 통해 수행되는 파일 생성/수정/삭제는 upper dir 에 진행됩니다.

 

이러한 구조를 OverlayFS 라고 합니다.

 

 

Container 내 credentials

---

 

앞서 OverlayFS 를 살펴봤는데 어느 정도 눈치를 채셨을 겁니다. Dockerfile 내 credentials 파일을 추가(COPY) 하는 작업도 이미지 내에서 레이어로 존재하게 되는데, 레이어도 결국 폴더로 존재하기 때문에 rm -rf 과 같은 명령어를 사용해서 지우더라도 COPY 레이어에는 여전히 credentials 파일이 존재할 것이고, 레이어 하나하나를 직접 살펴볼 수 있습니다.

 

좀 더 자세히 살펴보죠!

 

alpine 기반의 간단한 Dockerfile 입니다.

FROM alpine

COPY credentials.txt /credentials.txt

...

#-- credentials.txt 에 있는 데이터가지고 어떠한 작업을 진행한 후,

...

RUN rm -rf /credentials.txt

ENTRYPOINT ["tail", "-f", "/dev/null"]

 

 

이미지 빌드 후 실행합니다.

$ docker build -t test .

$ docker run --rm -d --name test test

 

 

빌드한 이미지 기반으로 컨테이너를 실행했고, credentails.txt 가 지워진 걸 확인할 수 있습니다.

credentails.txt 은 찾아볼 수 없음

 

이렇게만 보면 안전하게 이미지를 빌드한 것처럼 보입니다. 하지만 전혀 그렇지 않죠.

 

위에서 credentials.txt 에 어떠한 민감한 데이터가 있는지 말씀을 안드렸는데, 한번 어떤 데이터였는지 알아보도록 하겠습니다!

 

우선 아래 명령어를 통해 레이어를 하나하나씩 살펴보죠.

$ docker save test -o layers.tar

 

이후 layers.tar 의 압축을 풀어주면 아래와 같이 레이어들을 볼 수 있습니다.

layers

 

우선 가장 최상위에 있는 b96b*.json 와 manifest.json 을 살펴보면 이미지에 대한 정보들을 확인할 수 있습니다.

 

empty_layer 가 false 이 레이어들은 실제로 존재하는 레이어이며 lower dir 에 존재하게 됩니다.

empty_layer: true 는 실제로 존재하는 레이어가 없다는 걸 의미합니다.

 

두번째 레이어에서 credentials 를 COPY 하게 되는데, 두번째 레이어의 이름은 아래 인 것을 알 수 있습니다.

5a3762b16a0553fbd33c44434322b4e201f1e916cc6b134ce6aa5467717c59ab

 

해당 레이어(폴더)로 이동한 후 layer.tar 의 압축을 풀어주면 credentials.txt 가 나오는 걸 알 수 있고,

credentials.txt 가 레이어에 존재

 

실제로 클릭해면 민감한 데이터를 그대로 가지고 있습니다.

그대로 노출되는 데이터

 

이렇듯 이미지 빌드는 언뜻보면 안전해 보이지만 레이어에 그대로 저장되기 때문에 이미지 빌드에 민감한 데이터를 사용하는 것은 매우 위험한 행위인 것을 알 수 있습니다.

 

추가적으로 rm -rf 를 실행한 레이어를 살펴보면 credentials.txt 앞에 .wh 가 붙은 것을 볼 수 있는데, 선행한 레이어에서 삭제한 파일에 대해서는 앞에 .wh 를 붙여줍니다.

.wh 가 붙은 credentials.txt

 

그럼 오늘은 여기까지!