Контроль целостности

В целях обеспечения информационной безопасности необходимо настроить контроль целостности Docker-образов Gramax.

Проверка подписи образов

После скачивания образов с новыми версиями можно запускать проверку подписи.

Скачайте публичный ключ c gram.ax/enterprise-public-key.pem.
Проверьте хэш актуального ключа. Должен совпадать с хэшем ниже.
```
$ sha256sum "~/Downloads/enterprise-public-key.pem"
4830d12cf79d5ab7799668c4891e3dd926903a15f497e27d1118727e57e5668b
```
Запустите проверку подписи образа с помощью cosign :
```
cosign verify --key "~/Downloads/enterprise-public-key.pem" <название образа>
```
В закрытом контуре
Если у вас есть доступ только к registry.gram.ax, то проверку можно выполнить командой:
```
cosign verify \
--key "~/Downloads/enterprise-public-key.pem" \
--offline \
--rekor-url="" \
--insecure-ignore-tlog \
<название образа>
```

Запуск Docker-образов в режиме Readonly

Создайте папку (например, readonly-setup), где будут лежать все файлы конфигурации для запуска Docker-образов в режиме Readonly.

Запустите Docker. Откройте терминал, перейдите в папку и выполните команду:

curl https://gram.ax/readonly-enterprise-docker-compose.yaml -O docker-compose.yaml https://gram.ax/readonly-enterprise-caddyfile.Caddyfile -O Caddyfile
docker compose up

После выполнения команды Docker-образы запустятся в режиме Readonly, а реверс-прокси настроит доступ к ним.

Быстрый старт

C помощью Helm