[Container] 무심코 Dockerfile 에 복사한 credentials... 안전할까?

개발을 하는데 있어 컨테이너는 더 이상 빠질 수 없을 만큼 중요한 개념이 되었습니다. 그리고 Docker 는 컨테이너 매니지 툴 중 가장 대표적이라고 볼 수 있죠.

컨테이너를 실행하기 위해선 이미지가 필요하고 보편적으로 Docker 를 통해 이미지를 만들게 됩니다. Dockerfile 에 작성 한 후 Docker 커맨드를 이용하면 이미지가 만들어지고 아주 쉽게 컨테이너를 실행할 수 있습니다.

이미지를 빌드 하는 데 있어서 물론 경량화도 중요하지만, 그 못지 않게 이미지 보안도 중요합니다.

--previliged 권한을 부여하는 걸 지양하고, Dockerfile 에 직접적으로 crendentials 관련한 정보를 추가(COPY) 하는 걸 주의해야 합니다.

trivy 를 이용하면 손쉽게 이미지의 취약점 검사를 할 수 있습니다.

이번 글에서는 왜 Dockerfile 을 통해 이미지를 빌드할 때 crendentials 와 같은 민감한 데이터를 추가(COPY) 하면 안되는지 알아보려고 합니다.

그럼 렛츠두더코드~

OverlayFS

들어가기 앞서 먼저 컨테이너의 핵심 구조인 OverlayFS 에 대해서 알아볼 필요가 있습니다.

크게 lower dir, upper dir, merged dir 가 존재합니다.

lower dir 은 read-only 로 마운트되는 레이어들이 존재하고, upper dir 은 read-write 권한이 있는 레이어로 파일에 대한 생성/수정/삭제는 모두 upper dir 에서 일어나게 됩니다.

그리고 upper dir 에서의 작업이 끝나면 lower dir 로 변경되며, 이런식으로 레이어가 하나하나씩 쌓이게 됩니다.

이렇게 만들어진 레이어는 하나로 merged 되어 merged dir 에 존재하게 됩니다.

docker run 을 통해 컨테이너를 실행하면 모든 레이어는 lower dir 이고, docker exec 를 통해 수행되는 파일 생성/수정/삭제는 upper dir 에 진행됩니다.

이러한 구조를 OverlayFS 라고 합니다.

Container 내 credentials

앞서 OverlayFS 를 살펴봤는데 어느 정도 눈치를 채셨을 겁니다. Dockerfile 내 credentials 파일을 추가(COPY) 하는 작업도 이미지 내에서 레이어로 존재하게 되는데, 레이어도 결국 폴더로 존재하기 때문에 rm -rf 과 같은 명령어를 사용해서 지우더라도 COPY 레이어에는 여전히 credentials 파일이 존재할 것이고, 레이어 하나하나를 직접 살펴볼 수 있습니다.

좀 더 자세히 살펴보죠!

alpine 기반의 간단한 Dockerfile 입니다.

FROM alpine

COPY credentials.txt /credentials.txt

...

#-- credentials.txt 에 있는 데이터가지고 어떠한 작업을 진행한 후,

...

RUN rm -rf /credentials.txt

ENTRYPOINT ["tail", "-f", "/dev/null"]

이미지 빌드 후 실행합니다.

$ docker build -t test .

$ docker run --rm -d --name test test

빌드한 이미지 기반으로 컨테이너를 실행했고, credentails.txt 가 지워진 걸 확인할 수 있습니다.

이렇게만 보면 안전하게 이미지를 빌드한 것처럼 보입니다. 하지만 전혀 그렇지 않죠.

위에서 credentials.txt 에 어떠한 민감한 데이터가 있는지 말씀을 안드렸는데, 한번 어떤 데이터였는지 알아보도록 하겠습니다!

우선 아래 명령어를 통해 레이어를 하나하나씩 살펴보죠.

$ docker save test -o layers.tar

이후 layers.tar 의 압축을 풀어주면 아래와 같이 레이어들을 볼 수 있습니다.

우선 가장 최상위에 있는 b96b*.json 와 manifest.json 을 살펴보면 이미지에 대한 정보들을 확인할 수 있습니다.

empty_layer 가 false 이 레이어들은 실제로 존재하는 레이어이며 lower dir 에 존재하게 됩니다.

empty_layer: true 는 실제로 존재하는 레이어가 없다는 걸 의미합니다.

두번째 레이어에서 credentials 를 COPY 하게 되는데, 두번째 레이어의 이름은 아래 인 것을 알 수 있습니다.

5a3762b16a0553fbd33c44434322b4e201f1e916cc6b134ce6aa5467717c59ab

해당 레이어(폴더)로 이동한 후 layer.tar 의 압축을 풀어주면 credentials.txt 가 나오는 걸 알 수 있고,

실제로 클릭해면 민감한 데이터를 그대로 가지고 있습니다.

이렇듯 이미지 빌드는 언뜻보면 안전해 보이지만 레이어에 그대로 저장되기 때문에 이미지 빌드에 민감한 데이터를 사용하는 것은 매우 위험한 행위인 것을 알 수 있습니다.

추가적으로 rm -rf 를 실행한 레이어를 살펴보면 credentials.txt 앞에 .wh 가 붙은 것을 볼 수 있는데, 선행한 레이어에서 삭제한 파일에 대해서는 앞에 .wh 를 붙여줍니다.

그럼 오늘은 여기까지!

저작자표시 비영리 변경금지

OverlayFS

Container 내 credentials

검색 태그

티스토리툴바