5.17. Contenedores
Se ha actualizado la lista de búsqueda de registros por defecto en /etc/containers/registries.conf
La lista por defecto de registries.search en /etc/containers/registries.conf ha sido actualizada para incluir sólo los registros de confianza que proporcionan imágenes de contenedores curadas, parcheadas y mantenidas por Red Hat y sus socios.
Red Hat recomienda utilizar siempre nombres de imagen totalmente cualificados, incluyendo:
- El servidor de registro (nombre DNS completo)
- Espacio de nombres
- Nombre de la imagen
-
Etiqueta (por ejemplo,
registry.redhat.io/ubi8/ubu:latest)
Cuando se utilizan nombres cortos, siempre hay un riesgo inherente de suplantación de identidad. Por ejemplo, un usuario quiere sacar una imagen llamada foobar de un registro y espera que proceda de myregistry .com. Si myregistry. com no es el primero en la lista de búsqueda, un atacante podría colocar una imagen foobar diferente en un registro anterior en la lista de búsqueda. El usuario accidentalmente sacaría y ejecutaría la imagen y el código del atacante en lugar del contenido previsto. Red Hat recomienda sólo añadir registros que sean de confianza, es decir, registros que no permitan a usuarios desconocidos o anónimos crear cuentas con nombres arbitrarios. Esto evita que una imagen sea suplantada, ocupada o convertida en insegura.
Podman ya no depende de oci-systemd-hook
Podman no necesita ni depende del paquete oci-systemd-hook, que ha sido eliminado de los módulos container-tools:rhel8 y container-tools:2.0.
(BZ#1645280)
