signiant/sneaker Docker 镜像 - 轩辕镜像
signiant/sneakerSneaker 是一个在 AWS 上存储敏感信息的工具,通过 S3 和密钥管理服务 (KMS) 提供持久性、机密性和完整性。敏感信息存储在 S3 中,使用 AES-256-GCM 加密,并通过 KMS 生成的一次性数据密钥进行保护。
0 次下载activesigniant镜像
Sneaker
 提供持久性、机密性和完整性。
密钥存储在 S3 中,使用 AES-256-GCM 加密,并通过 KMS 生成的一次性数据密钥进行保护。
目录
- 警告
- 安装
- 使用
- 配置 AWS 访问权限
- 设置环境
- 基本操作
- 打包密钥
- 解包密钥
- 加密上下文
- 维护操作
- 实现细节
- 架构
- 威胁模型
- 假设
- KMS 泄露威胁
- S3 泄露威胁
- 用户计算机被夺取或泄露的威胁
警告
本项目尚未经过安全专家审核。其内部实现、数据格式和接口未来可能随时更改,恕不另行通知。
安装
shellcd cmd/sneaker go build
使用
配置 AWS 访问权限
sneaker 需要访问 AWS API,因此需要一组 AWS 凭证。它会依次查找 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 环境变量、默认凭证配置文件(如 ~/.aws/credentials),最后是 EC2 实例上的实例配置文件凭证。
通常,如果 aws 命令可用,sneaker 也应能正常工作。
如果您的 AWS 账户启用了多因素认证(强烈建议启用),可能需要通过 AWS_SESSION_TOKEN 环境变量提供令牌。
如果使用 IAM 实例角色,可能需要设置 AWS_REGION 环境变量指定使用的 AWS 区域(如 us-east-1)。
设置环境
Sneaker 需要两个组件:一个 KMS 主密钥和一个 S3 存储桶。
您可以通过 AWS 控制台或最新版本的 aws 命令创建 KMS 密钥。创建后,将其 ID(UUID 格式)存储在 SNEAKER_MASTER_KEY 环境变量中:
shellexport SNEAKER_MASTER_KEY="9ed356fb-5f0f-4792-983d-91866faa3705"
与密钥类似,您可以通过 AWS 控制台或 aws 命令创建 S3 存储桶。您可以使用专用存储桶或公共存储桶中的目录,但建议执行以下两项操作:
-
使用
PrivateACL。除了sneaker的加密控制外,访问控制对于防止安全漏洞至关重要。 -
启用访问日志记录,理想情况下记录到严格控制的安全存储桶中。尽管 Amazon 的 CloudTrail 为绝大多数 AWS 服务提供审计日志,但不包括 S3 访问。
完成后,设置 SNEAKER_S3_PATH 环境变量指定存储密钥的位置(如 s3://bucket1/secrets/):
shellexport SNEAKER_S3_PATH="s3://bucket1/secrets/"
(这会将加密的密钥存储在 bucket1 存储桶中,前缀为 secrets/。)
基本操作
配置完成后,尝试列出密钥:
shellsneaker ls
这将打印所有已上传密钥的表格。由于尚未上传任何内容,表格将为空。
创建示例密钥文件并上传:
shellecho "This is a secret!" > secret.txt sneaker upload secret.txt example/secret.txt
此命令将使用 KMS 生成随机的 256 位数据密钥,用 AES-256-GCM 加密密钥,并将加密的密钥和 KMS 生成的加密数据密钥上传到 S3。运行 sneaker ls 应显示包含该文件的表格。
如果文件非常敏感,不应存储在磁盘上,可用 - 代替文件名,使 sneaker 从 STDIN 读取数据。
下载单个文件:
shellsneaker download example/secret.txt secret.txt
也可将多个文件下载到单个文件夹:
shellsneaker gather "example/*.txt,other/*.txt" output-dir/
删除文件:
shellsneaker rm example/secret.txt
打包密钥
要在机器上安装密钥,需将其打包成 tarball:
shellsneaker pack example/*,extra.txt example.tar.enc
此命令执行以下步骤:
-
下载并解密所有匹配模式
example/*或extra.txt的密钥。 -
将所有解密的密钥打包到内存中的
TAR文件。 -
使用 KMS 生成新数据密钥。
-
使用数据密钥通过 AES-GCM 加密
TAR文件。 -
将加密的数据密钥和加密的
TAR文件写入example.tar.enc。
使用 - 作为输出路径将使 sneaker 将数据写入 STDOUT。
结果可安全存储和传输——只有有权限执行 KMS 密钥 Decrypt 操作的用户才能解密数据。
打包时可使用 --key-id 标志指定不同于 SNEAKER_MASTER_KEY 的 KMS 密钥:
shellsneaker pack example/* example.tar.enc --key-id=deb207cd-d3a7-4777-aca0-01fbceb4c927
这允许在无法访问存储密钥所用密钥的环境中解包密钥。
解包密钥
解包密钥运行以下命令:
shellsneaker unpack example.tar.enc example.tar
此命令执行以下步骤:
-
读取
example.tar.enc。 -
提取加密的数据密钥和加密的
TAR文件。 -
使用 KMS 解密数据密钥。
-
解密
TAR文件并将结果写入example.tar。
使用 - 代替文件名将使 sneaker 从 STDIN 读取数据。同样,使用 - 作为输出路径将使 sneaker 将数据写入 STDOUT,例如可直接通过管道传输到 tar 进程。
加密上下文
KMS 支持加密上下文概念:用于加密的半结构化数据,解密时必须提供相同的数据。
sneaker 使用 SNEAKER_MASTER_CONTEXT 环境变量作为存储在 S3 中的密钥的默认加密上下文。此外,sneaker 还包含完整的 S3 路径(包括存储桶和前缀)。因此,S3 中的密钥不能重命名,只能删除并重新上传。
注意: 目前无法直接修改 SNEAKER_MASTER_CONTEXT 的内容。如需更改,需下载所有密钥并使用新上下文重新上传。
打包和解包密钥时,可通过命令行指定不同的加密上下文:
shellsneaker pack example/* secrets.tar.enc --context="hostname=web1.example.com,version=20"
解包时必须使用相同的上下文(hostname=web1.example.com,version=20):
shellsneaker unpack secrets.tar.enc secrets.tar --context="hostname=web1.example.com,version=20"
加密上下文中的所有数据通过 CloudTrail 记录,可跟踪特定密钥的打包和解包时间与位置。
维护操作
常见的维护任务是密钥轮换。要轮换用于加密密钥的数据密钥,运行 sneaker rotate。它将下载并解密每个密钥,生成新数据密钥,并上传重新加密的副本。
要轮换用于每个密钥的 KMS 密钥,只需指定不同的 SNEAKER_MASTER_KEY 并运行 sneaker rotate。
实现细节
所有数据使用随机 KMS 数据密钥和随机 nonce 通过 AES-256-GCM 加密。KMS 密钥的 ID 用作已认证数据。
最终结果由以下部分连接而成:
-
四字节头部:加密的 KMS 数据密钥长度(字节数),网络字节顺序。
-
加密的 KMS 数据密钥(原始格式,包含密钥 ID 的 Amazon 不透明格式)。
-
密钥的 AES-256-GCM 密文和标签。
架构
!Sneaker 架构
威胁模型
威胁模型根据不同***者可能实现的目标定义。此列表旨在全面覆盖——如果某个实体能执行未列出的操作,则视为 Sneaker 存在安全漏洞。
总体而言,使用 Sneaker 存储的内容的机密性和完整性取决于 Sneaker 的完整性、KMS 的机密性和完整性,以及 S3 的完整性。
假设
-
用户必须采取合理行动并维护自身利益,不得泄露密钥或允许未授权访问密钥。
-
用户必须运行未被篡改的 Sneaker 副本。
-
用户的计算机必须正常运行,未被***软件感染。
-
与 Amazon 的通信通过 TLS 确保机密性和完整性。
-
密钥管理服务 (KMS) 足够安全:其密钥不会泄露,随机数对***者不可预测,加密算法正确。
-
KMS 和 S3 的认证与访问控制功能安全。
-
AES-256 和 GCM 的安全保证有效。
KMS 泄露威胁
泄露 KMS 的***者可:
-
创建伪造的密钥包。
-
解包打包的 tarball。
-
暂时或永久阻止解密密钥。
S3 泄露威胁
泄露 S3 的***者可:
- 删除或修改密钥,使其失效。
用户计算机被夺取或泄露的威胁
物理夺取用户计算机(或泄露用户备份)或通过其他方式泄露计算机的***者可:
- 恢复 AWS 凭证并冒充用户。如果未启用多因素认证,***者可提取所有密钥、修改密钥等。===SHORT_DESC=== Sneaker 是一个在 AWS 上存储敏感信息的工具,通过 S3 和密钥管理服务 (KMS) 提供持久性、机密性和完整性。敏感信息存储在 S3 中,使用 AES-256-GCM 加密,并通过 KMS 生成的一次性数据密钥进行保护。 ===FULL_DESC===# Sneaker
 提供持久性、机密性和完整性。
密钥存储在 S3 中,使用 AES-256-GCM 加密,并通过 KMS 生成的一次性数据密钥进行保护。
目录
- 警告
- 安装
- 使用
- 配置 AWS 访问权限
- 设置环境
- 基本操作
- 打包密钥
- 解包密钥
- 加密上下文
- 维护操作
- 实现细节
- 架构
- 威胁模型
- 假设
- KMS 泄露威胁
- S3 泄露威胁
- 用户计算机被夺取或泄露的威胁
警告
本项目尚未经过安全专家审核。其内部实现、数据格式和接口未来可能随时更改,恕不另行通知。
安装
shellcd cmd/sneaker go build
使用
配置 AWS 访问权限
sneaker 需要访问 AWS API,因此需要一组 AWS 凭证。它会依次查找 AWS_ACCESS_KEY_ID 和 AWS_SECRET_ACCESS_KEY 环境变量、默认凭证配置文件(如 ~/.aws/credentials),最后是 EC2 实例上的实例配置文件凭证。
通常,如果 aws 命令可用,sneaker 也应能正常工作。
如果您的 AWS 账户启用了多因素认证(强烈建议启用),可能需要通过 AWS_SESSION_TOKEN 环境变量提供令牌。
如果使用 IAM 实例角色,可能需要设置 AWS_REGION 环境变量指定使用的 AWS 区域(如 us-east-1)。
设置环境
Sneaker 需要两个组件:一个 KMS 主密钥和一个 S3 存储桶。
您可以通过 AWS 控制台或最新版本的 aws 命令创建 KMS 密钥。创建后,将其 ID(UUID 格式)存储在 SNEAKER_MASTER_KEY 环境变量中:
shellexport SNEAKER_MASTER_KEY="9ed356fb-5f0f-4792-983d-91866faa3705"
与密钥类似,您可以通过 AWS 控制台或 aws 命令创建 S3 存储桶。您可以使用专用存储桶或公共存储桶中的目录,但建议执行以下两项操作:
-
使用
PrivateACL。除了sneaker的加密控制外,访问控制对于防止安全漏洞至关重要。 -
启用访问日志记录,理想情况下记录到严格控制的安全存储桶中。尽管 Amazon 的 CloudTrail 为绝大多数 AWS 服务提供审计日志,但不包括 S3 访问。
完成后,设置 SNEAKER_S3_PATH 环境变量指定存储密钥的位置(如 s3://bucket1/secrets/):
shellexport SNEAKER_S3_PATH="s3://bucket1/secrets/"
(这会将加密的密钥存储在 bucket1 存储桶中,前缀为 secrets/。)
基本操作
配置完成后,尝试列出密钥:
shellsneaker ls
这将打印所有已上传密钥的表格。由于尚未上传任何内容,表格将为空。
创建示例密钥文件并上传:
shellecho "This is a secret!" > secret.txt sneaker upload secret.txt example/secret.txt
此命令将使用 KMS 生成随机的 256 位数据密钥,用 AES-256-GCM 加密密钥,并将加密的密钥和 KMS 生成的加密数据密钥上传到 S3。运行 sneaker ls 应显示包含该文件的表格。
如果文件非常敏感,不应存储在磁盘上,可用 - 代替文件名,使 sneaker 从 STDIN 读取数据。
下载单个文件:
shellsneaker download example/secret.txt secret.txt
也可将多个文件下载到单个文件夹:
shellsneaker gather "example/*.txt,other/*.txt" output-dir/
删除文件:
shellsneaker rm example/secret.txt
打包密钥
要在机器上安装密钥,需将其打包成 tarball:
shellsneaker pack example/*,extra.txt example.tar.enc
此命令执行以下步骤:
-
下载并解密所有匹配模式
example/*或extra.txt的密钥。 -
将所有解密的密钥打包到内存中的
TAR文件。 -
使用 KMS 生成新数据密钥。
-
使用数据密钥通过 AES-GCM 加密
TAR文件。 -
将加密的数据密钥和加密的
TAR文件写入example.tar.enc。
使用 - 作为输出路径将使 sneaker 将数据写入 STDOUT。
结果可安全存储和传输——只有有权限执行 KMS 密钥 Decrypt 操作的用户才能解密数据。
打包时可使用 --key-id 标志指定不同于 SNEAKER_MASTER_KEY 的 KMS 密钥:
shellsneaker pack example/* example.tar.enc --key-id=deb207cd-d3a7-4777-aca0-01fbceb4c927
这允许在无法访问存储密钥所用密钥的环境中解包密钥。
解包密钥
解包密钥运行以下命令:
shellsneaker unpack example
signiant/logspout-ecs
by signiant
logspout容器的特化版本,在AWS ECS环境中设置包含EC2实例ID的syslog主机名,便于发送日志时识别容器所在的ECS集群节点。
11M+ pulls
上次更新:8 个月前
signiant/ecs-cluster-scaledown
by signiant
用于自动缩减ECS集群的工具,通过检查实例状态和负载,将指定数量的实例置为DRAINING状态并在条件满足时终止,解决单向扩容导致的集群过度配置问题。
100K+ pulls
上次更新:4 个月前
signiant/task-cleanup
by signiant
监控ECS集群中特定任务家族的运行任务,当任务年龄超过设定阈值时自动终止,释放集群资源,支持Docker容器或Lambda两种运行方式,实现自动修复。
100K+ pulls
上次更新:5 个月前
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
登录仓库拉取
通过 Docker 登录认证访问私有仓库
Linux
在 Linux 系统配置镜像服务
Windows/Mac
在 Docker Desktop 配置镜像
Docker Compose
Docker Compose 项目配置
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
宝塔面板
在宝塔面板一键配置镜像
群晖
Synology 群晖 NAS 配置
飞牛
飞牛 fnOS 系统配置镜像
极空间
极空间 NAS 系统配置服务
爱快路由
爱快 iKuai 路由系统配置
绿联
绿联 NAS 系统配置镜像
威联通
QNAP 威联通 NAS 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
专属域名拉取
无需登录使用专属域名
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
轩辕镜像免费版与专业版有什么区别?
免费版仅支持 Docker Hub 访问,不承诺可用性和速度;专业版支持更多镜像源,保证可用性和稳定速度,提供优先客服响应。
轩辕镜像支持哪些镜像仓库?
专业版支持 docker.io、gcr.io、ghcr.io、registry.k8s.io、nvcr.io、quay.io、mcr.microsoft.com、docker.elastic.co 等;免费版仅支持 docker.io。
流量耗尽错误提示
当返回 402 Payment Required 错误时,表示流量已耗尽,需要充值流量包以恢复服务。
410 错误问题
通常由 Docker 版本过低导致,需要升级到 20.x 或更高版本以支持 V2 协议。
manifest unknown 错误
先检查 Docker 版本,版本过低则升级;版本正常则验证镜像信息是否正确。
镜像拉取成功后,如何去掉轩辕镜像域名前缀?
使用 docker tag 命令为镜像打上新标签,去掉域名前缀,使镜像名称更简洁。
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"