現(xiàn)階段，我們正在從虛擬化過渡到容器化，一些我們所熟悉的容器化技術(shù)就包括了諸如docker或http://quay.io等。一般來說，我們可以通過配置程序依賴環(huán)境來為特定應(yīng)用程序建立鏡像，通常當(dāng)開發(fā)人員使用容器時(shí)，它不僅把程序進(jìn)行了打包，同時(shí)也可以將程序封裝成操作系統(tǒng)一部分。可糟糕的是，我們不知道容器的連接庫是否已打補(bǔ)丁或是否易受到攻擊。

因此，今天我們要來展示的是“如何在任何基礎(chǔ)架構(gòu)中進(jìn)行容器審計(jì)以及漏洞評(píng)估”。

01

Clair：針對(duì)漏洞的漏掃工具

· 安裝

CoreOS開發(fā)了一個(gè)很棒的容器掃描工具—Clair。

Clair是一個(gè)開源項(xiàng)目，用于靜態(tài)分析應(yīng)用程序和Docker容器中的漏洞，使用以下命令可在git的幫助下克隆該軟件包

git clone https://github.com/arminc/clair-scanner.git

· Docker鏡像漏洞掃描

在本地計(jì)算機(jī)上運(yùn)行docker apt install golang

構(gòu)建庫以安裝Clair的所有依賴項(xiàng)

cd clair-scanner

make build

make cross

如果主機(jī)中沒有docker鏡像，那么可以提取一個(gè)用于漏洞評(píng)估的新鏡像如下：

docker pull ubuntu:16.04

在本地端口5432運(yùn)行docker鏡像

docker run -d -p 5432:5432 --name db arminc/clair-db:latest

運(yùn)行docker image for postgres以鏈接Clair scan。

docker run -d -p 6060:6060 –-link db:postgres –- name clair arminc/clair-local-scan:latest

使用Clair掃描容器或容器鏡像的漏洞。

Syntax: ./clair-scanner -ip <docker ip> -routput.jason <docker-image>

./clair-scanner –-ip 172.17.0.1 -r report.json ubuntu:16.04

Boom ！！！ 我們得到的掃描輸出顯示50個(gè)未批準(zhǔn)的漏洞。

02

Bench - security ：針對(duì)容器基線的漏掃工具

· 簡介

Docker Bench for Security是一個(gè)腳本，用于檢查有關(guān)在生產(chǎn)中部署Docker容器的安全問題。docker-bench根據(jù)互聯(lián)網(wǎng)安全中心CIS對(duì)于docker1.13.0+的安全規(guī)范進(jìn)行一系列的安全檢查，bench對(duì)當(dāng)前主機(jī)內(nèi)的參數(shù)進(jìn)行檢查，輸出相應(yīng)的結(jié)果。

· 安裝

git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker-compose run --rm docker-bench-security

· 容器基線安全掃描

主機(jī)上有一些docker鏡像：

如下所示的一組命令為Docker基線審計(jì)過程。

docker run -it --net host --pid host --userns host --cap-add audit_control

-eDocker_CONTENT_TRUST=$DOCKER_

CONTENT_TRUST

-v /etc:/etc:ro

-v /usr/bin/containerd:/usr/bin/containerd:ro

-v /usr/bin/runc:/usr/bin/runc:ro

-v /usr/lib/systemd:/usr/lib/systemd:ro

-v /var/lib:/var/lib:ro

-v /var/run/docker.sock:/var/run/docker.sock:ro

--label docker_bench_security

docker/docker-bench-security

每個(gè)配置建議的輸出結(jié)果為“信息”，“警告”，“合格”和“注釋”，如下所述：

1.主機(jī)配置

2. Docker Daemon配置

3. Docker Daemon配置文件

4.容器鏡像和安裝文件

5.容器的runtime文件

6. Docker安全策略

也就是說，從截圖中觀察到已經(jīng)創(chuàng)建了針對(duì)運(yùn)行docker映像的root權(quán)限的警報(bào)。

要解決這種類型的配置錯(cuò)誤，要先停止docker的運(yùn)行過程，然后再次以低權(quán)限用戶訪問，并運(yùn)行docker映像，如下所示:

docker stop $(docker ps -aq)

docker rm $(docker ps -aq)

docker run -itd –user 1001:1001 ubuntu

如果漏洞已修復(fù)，需再次使用bench工具掃描目標(biāo)，交叉驗(yàn)證以確保已解除警告。 如下所示，此次我們獲得了綠色標(biāo)記，表明我們已經(jīng)修補(bǔ)了漏洞。

本篇作者：Geet Madan是Hacking Articles on Information Security上的合格道德黑客、研究人員和技術(shù)作家

我們是誰：

安定坊是一個(gè)由白帽安全攻防愛好者組成的社群，這里有很多的愛好者交流與分享國內(nèi)外前沿的安全攻防技術(shù)、國際安全事件、工具等。

加入我們：

掃描下方小助手二維碼即可進(jìn)群獲得最新免費(fèi)安全工具，一手國際安全資訊和國內(nèi)外安全教材完整版PDF哦！

https://u.wechat.com/EI12IedUMg37-PBCVPxBbeQ (二維碼自動(dòng)識(shí)別)

小助手二維碼在這里！

總結(jié)

以上是生活随笔為你收集整理的docker -v 覆盖了容器中的文件_「安定坊」安全卫士-容器漏洞评估的全部內(nèi)容，希望文章能夠幫你解決所遇到的問題。

如果覺得生活随笔網(wǎng)站內(nèi)容還不錯(cuò)，歡迎將生活随笔推薦給好友。