惯性聚合 高效追踪和阅读你感兴趣的博客、新闻、科技资讯
阅读原文 在惯性聚合中打开

推荐订阅源

罗磊的独立博客
Apple Machine Learning Research
Apple Machine Learning Research
The Cloudflare Blog
WordPress大学
WordPress大学
钛媒体:引领未来商业与生活新知
钛媒体:引领未来商业与生活新知
奇客Solidot–传递最新科技情报
奇客Solidot–传递最新科技情报
博客园 - 叶小钗
博客园 - 聂微东
阮一峰的网络日志
阮一峰的网络日志
腾讯CDC
博客园 - 三生石上(FineUI控件)
V
V2EX
有赞技术团队
有赞技术团队
V
Visual Studio Blog
小众软件
小众软件
Jina AI
Jina AI
酷 壳 – CoolShell
酷 壳 – CoolShell
博客园 - Franky
量子位
T
Tailwind CSS Blog
cs.CV updates on arXiv.org
cs.CV updates on arXiv.org
P
Palo Alto Networks Blog
Cisco Talos Blog
Cisco Talos Blog
I
Intezer
Project Zero
Project Zero
A
Arctic Wolf
P
Privacy International News Feed
V
Vulnerabilities – Threatpost
L
Lohrmann on Cybersecurity
S
Securelist
C
Cybersecurity and Infrastructure Security Agency CISA
C
CXSECURITY Database RSS Feed - CXSecurity.com
T
Tor Project blog
Hacker News - Newest:
Hacker News - Newest: "LLM"
S
Security @ Cisco Blogs
cs.AI updates on arXiv.org
cs.AI updates on arXiv.org
Threat Intelligence Blog | Flashpoint
Threat Intelligence Blog | Flashpoint
Google DeepMind News
Google DeepMind News
N
News and Events Feed by Topic
TaoSecurity Blog
TaoSecurity Blog
L
LINUX DO - 热门话题
G
GRAHAM CLULEY
Help Net Security
Help Net Security
N
News | PayPal Newsroom
W
WeLiveSecurity
G
Google Developers Blog
Microsoft Security Blog
Microsoft Security Blog
Engineering at Meta
Engineering at Meta
MongoDB | Blog
MongoDB | Blog
C
Check Point Blog

Docker

Homelab 部署的服务用 latest 还是固定版本? - V2EX 有啥基于 docker 的类似于微信文件传输助手的东西吗? 有没有什么比较优雅且轻量化的 web 端微信解决方案? V2EX 请问 OrbStack 界面下不能修改参数吗? - V2EX V2EX mac 上面的 docker desktop 都更新些啥啊 - V2EX 阿里云轻量服务器中拉取 Docker 镜像问题 - V2EX 现在大家如何拉取 Docker 镜像? - V2EX 轻量级 OCR 文字识别服务 netnr/liteocr - V2EX 现在官方 docker 拉镜像必须 TUN+全局了吗 - V2EX 请教一下佬们,在使用 1panel 的情况下,有没有必要再部署 Traefik 作为 Docker 统一网关? - V2EX 创建 docker 镜像时为了防止结束,运行 sleep infinity 和 tail -f /dev/null 哪个更好 - V2EX 2025 年了,大家公司的服务器用的是 debian 还是 ubuntu 呀 - V2EX Watchtower 停止维护 - V2EX NAS 上部署自制 docker 程序发生网络连接相关问题 - V2EX 请问下现代的 docker 版本,是无法再使用 centos6.8 这类容器了么? - V2EX 现在是不推荐使用 阿里云或腾讯云或高校的 dokcer 镜像源吗? 为什么? 一直挂梯子用 docker, 不了解现在的情况了 - V2EX Docker 29.1 不能解析外部 dns - V2EX 求助 docker 中安装 portainer 不能连接 docker.sock - V2EX docker ps 显示正在运行,但是服务已经 down 了 - V2EX 公司禁用 Docker - V2EX V2EX macos 下使用 orbstack 如何才能不挂载目录? - V2EX Docker 镜像的 UID、GID 管理都这么阴间的么? - V2EX 请教一个 Docker/Traefik 的网路问题 - V2EX docker compose 在生产上用的多吗,小规模 - V2EX 2025 年了,感觉 podman 已经比 docker 好用太多了,就差一个杀手级的 GUI 配置了 - V2EX ttl.sh 被阿里做掉了,怎么办? - V2EX 万物皆 docker 部署,真的有必要吗? - V2EX 只做镜像 harbor nexus 两个软件对比选择哪个呢? - V2EX 在容器里运行 VPN,如何接管其他容器的流量作为默认出口? - V2EX docker 重磅安全漏洞 - V2EX 请教一个关于 docker 间的通信问题 - V2EX [求助] Debian12 修改 docker 的 daemon.json 文件后不生效 - V2EX docker compose 那个内部 DNS 到底是怎么工作的 - V2EX 小白求助, Docker 报错 132 是什么问题呢? - V2EX 自己搭建一个 docker 镜像站 - V2EX WSL 中无法访问 registry-1.docker.io/v2/,没法用 docker 拉取 image,试了很多方法都不行,累了 - V2EX 怎么对 docker 的容器限速 - V2EX V2EX 请教大家一个关于 docker 网络的问题 - V2EX 为什么国内镜像源都不更新国外的镜像? - V2EX 请问 docker 镜像是否存在版本兼容问题? - V2EX 有没有可行的 reproducible 容器环境方案? - V2EX 不安装 docker 有办法直接下载镜像 tar 包吗? - V2EX 在国内服务器上使用 sing-box 方便的拉取 docker 镜像 - V2EX 有没有带权限的 docker 管理工具 - V2EX Openp2p 远程访问飞牛 NAS 内应用不成功,请有经验的老铁指教。 - V2EX 有没有让 docker 容器休眠的方法 - V2EX 生产环境部署疑问 运行 docker 容器需要指定一个版本吗 - V2EX
私有化部署了一套公司的系统,如何有效保护容器里面的文件不被客户拿到 - V2EX
eephee · 2025-12-02 · via Docker

这是一个创建于 194 天前的主题,其中的信息可能已经有所发展或是发生改变。

目前我们的业务系统中有一个 java 后端服务,该服务的 docker 镜像中除了包含构建好的 jar 包外,还包含了一个二进制可执行文件和一些动态库,运行时 java 会开子进程调用这个二进制文件去做一些事情。由于这个二进制文件依赖的复杂性,我不太好 FROM scratch 去构建镜像,因此目前我是基于 debian 去构建的镜像。

私有化部署时,我们会在客户提供的机器上面部署一个 k3s 集群来跑这套系统。

领导说要防止客户进入容器拿到里面的二进制可执行文件和动态库,我目前是在构建镜像时将 bash|sh|dash 悄悄移动到其他目录下(方便我们自己调试),但是我知道这个做法其实是掩耳盗铃,因为只要别人拷贝一个 shell 文件进去就可以破解。

想问一下关于这块目前有没有人有相对成熟的方案呢

xkx

1

xkx      2025 年 12 月 2 日

启动后把这个可执行文件删除,如何?
不过如果客户能拿到镜像本身的话,好像怎么也防不住了。。

或者是这个二进制文件搞成启动时才下载的,而下载的地方搞点手脚不让随便下(比如识别服务器指纹)

NewYear

2

NewYear      2025 年 12 月 2 日

远程加载,永远只存在内存。

BeautifulSoap

3

BeautifulSoap      2025 年 12 月 2 日

典型的给程序加壳的应用场景,拿到了二进制也要脱壳解密。如果可以联网的话,和上面说的动态下也是可以的,比如动态下载经过加密的二进制到内存,然后内存中解密直接执行

eephee

4

eephee      2025 年 12 月 2 日 via iPhone

@xkx
@NewYear 谢谢建议,但是这种做法在客户内网没法访问公网的情况下就没办法了

eephee

5

eephee      2025 年 12 月 2 日 via iPhone

@BeautifulSoap 调用时解密吗,好像确实可以,只要 jar 包里面的私钥不被破解好像就行得通是吗

JoeJoeJoe

6

JoeJoeJoe      2025 年 12 月 2 日

镜像你都提供了,只要想拿总会是能拿到的.

两个方向,一个就是楼上说的套壳加密,再一个就是限时授权码整包里

hefish

7

hefish      2025 年 12 月 2 日

派 op 天天站服务器旁边看着。

BeautifulSoap

8

BeautifulSoap      2025 年 12 月 2 日

@eephee 是的,如果怕 jar 太好逆向的话,写一个专门的启动用二进制,用这个二进制进行上面说的工作。然后这个二进制程序本身也要搞好混淆,加壳防逆向

ferock

9

ferock      2025 年 12 月 2 日 via Android

用虚拟机,密码不提供

Herry001

10

Herry001      2025 年 12 月 3 日

真要拿肯定是直接导出镜像然后直接拆啊……哪用得着进容器

passive

11

passive      2025 年 12 月 3 日 via Android

启动个 qemu ,里面加载完之后就删了程序,休眠 Guest OS 。每次 docker 开启 qemu 加载休眠 image 。

Citrus

12

Citrus      2025 年 12 月 3 日 via iPhone

不给 shell 没有任何意义。当你 docker pull 之后,镜像里的所有文件就都在磁盘里了,可以从母鸡直接访问。比如,dive 工具了解一下。
做好加密混淆是唯一解法,运行时动态解密。如果用 java 解密那相关代码需要混淆,不然反编译一下密钥清晰可见。
启动后删除二进制也没有意义,如上所说,这个二进制一定存在母鸡上,删除只是容器内看不到,容器外依然能看到。

yinmin

13

yinmin      2025 年 12 月 3 日 via iPhone

你需要的真正目的是防止盗版吧? 你应该根据服务器硬件特征( cpuinfo 、网卡、TPM 等)生成授权码,然后二进制程序运行时去校验授权码是否与服务器硬件匹配。如果使用 k3s 可以做一个授权服务器固定在某个硬件上,然后每次启动时都去授权服务器确认。

lolo1

14

lolo1      2025 年 12 月 3 日 via Android

整硬件加密狗

yekern

15

yekern      2025 年 12 月 3 日

给二进制和动态资源 在套一层和 jar 打包在一起, 运行时候释放到 tmp 下或者 一个隐藏目录, 释放到时候 随机文件名 别带后缀企图用 cache 等名称迷惑客户, 应该可以迷惑 80%的技术不太精的客户

eephee

16

eephee      2025 年 12 月 3 日

@yekern 确实,之前偶然看到 golang 的 go-bindata 时我也想到过类似的途径,只是不太了解 java 里面用什么工具做这个

eephee

17

eephee      2025 年 12 月 3 日

@yinmin 防盗版是目的之一,之二是防止客户或者竞品根据动态库等文件的一些特征推测出我们所用的技术

sunny352787

18

sunny352787      2025 年 12 月 3 日

你们不会真当容器是虚拟机了吧?镜像就是个压缩包,只要能拿到镜像,你们那些运行时藏文件、用本地密钥解密什么的都毫无意义啊。这玩意你就得当成是本地运行的程序只是不用本地装 jvm 而已,本地运行怎么加壳镜像里就得怎么做,别的都没用

yekern

20

yekern      2025 年 12 月 3 日

@eephee 我问了豆包,说是可以实现.
我就这么问他的
例如我 spring boot 需要调用一些命令行二进制工具, 而这个工具 我想和 spring boot 一起打包在 jar 文件中, 在执行 spring boot 启动的时候 释放这个二进制文件到指定目录 然后 spring boot 可以调用这个资源, 有点类似 c++的资源文件