Harbor集成Clair安全扫描实践(KOS)

已于 2024-07-24 19:08:48 修改
阅读量295 收藏
点赞数
分类专栏: 软件兼容性 文章标签: 安全 linux
于 2023-08-24 18:26:47 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/KeyarchOS/article/details/132480274
版权

目录

1 概述

2 安装环境

2.1 操作系统环境

2.2 工具版本

3 安装与配置

3.1 安装docker

3.2 安装docker-compose

3.3 安装harbor

4 Clair扫描

4.1 推送镜像

4.2 安全扫描

1 概述

clair的目标是能够从一个更加透明的维度去看待基于容器化的基础框架的安全性。Clair=clear + bright + transparent; clair通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于Common Vulnerabilities and Exposures数据库(简称CVE), Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleedCVE为:CVE-2014-0160GitHub - quay/clair: Vulnerability Static Analysis for Containers

浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接浪潮信息云峦服务器操作系统KeyarchOS_KOS服务器操作系统-浪潮信息

2 安装环境

2.1 操作系统环境

版本信息:KeyarchOS 5.8sp1

硬件平台:X86_64

2.2 工具版本

clair v2.1.0

harbor v2.1.0

docker

docker-compose v2.20.2

3 安装与配置

3.1 安装docker

  1. 安装docker,docker在默认KOS源中存在,可直接命令行安装。执行如下命令。

dnf install docker

启动docker守护进程。

systemctl start docker.service

systemctl enable docker.service

查看docker运行状态。

3.2 安装docker-compose

1、资源下载https://github.com/docker/compose/releases/download/v2.20.2/docker-compose-linux-x86_64

docker-compose下载后执行如下命令赋予其执行权限。

chmod +x docker-compose-linux-x86_64

mv docker-compose-linux-x86_64 /usr/bin/docker-compose

./docker-compose

使用如下命令查看docker-compose版本信息。

下载Clair的docker-compose文件

curl –L https://raw.githubusercontent.com/coreos/clair/master/docker-compose.yaml > docker-compose.yaml

如果该段时间下载较慢可更换国内docker源,具体命令如下。

sudo vim /etc/docker/daemon.json

输入

{

"registry-mirrors": ["https://cr.console.aliyun.com "]

}

重启docker服务systemctl restart docker.service

下载config_yaml文件

创建目录 mkdir clair_config   vi config.yaml

curl https://raw.githubusercontent.com/coreos/clair/v2.0.1/config.example.yaml -o config/config.yaml

在docker-compose.yml的路径下构建镜像并启动容器

docker-compose up -d

启动后确认docker-compose ps

3.3 安装harbor

harbor集成了clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。

  1. 资源下载

https://github.com/goharbor/harbor/releases/download/v2.1.0/harbor-online-installer-v2.1.0.tgz

解压

  1. 制作harbor.yml文件

进入目录 cp harbor.yml.tmpl harbor.yml

vim harbor.yml 更改hostname

3、安装并集成clair

./prepare

./install.sh --with-clair

4、结果确认

登陆验证hostname+port 账户admin 默认密码为Harbor12345(根据自己在yml文件的设置)

4 Clair扫描

4.1 推送镜像

4.2 安全扫描

KeyarchOS
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
jenkins+docker集成harbor实现可持续集成
congge
04-14 1万+
jenkins+docker集成harbor实现可持续集成
k8s和harbor集成_Harbor与K8s的集成实践
weixin_36201438的博客
12-24 1138
Harbor与K8s的集成实践Harbor提供了基于角色的访问控制机制,并通过项目来对镜像进行组织和访问权限的控制。kubernetes中通过namespace来对资源进行隔离,在企业级应用场景中,通过将两者进行结合可以有效将kubernetes使用的镜像资源进行管理和访问控制,增强镜像使用的安全性。尤其是在多租户场景下,可以通过租户、namespace和项目相结合的方式来实现对多租户镜像资源的管...
docker基础:私库系列:再探Harbor:(5)集成clair
热门推荐
知行合一 止于至善
08-21 1万+
Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。
Clair镜像安全扫描工具
qq_44789526的博客
03-09 1515
本文主要描述Clair的部署内容 Install:首先要下载好需要的镜像等文件 # Clone the repo git clone git@github.com:arminc/clair-scanner.git # Build and install cd clair-scanner make build make installLocal # Run ./clair-scanner -h 如有问题,也可根据下面命令或网址自行下载 **https://hub.docker.com/r/arminc/c
harbor系列之7:镜像漏洞扫描
最新发布
codelearning的专栏
07-28 505
Harbor 默认通过开源项目(Harbor 2.0.0 及之后版本)或(Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析。在harbor中可以对特定镜像或 Harbor 中的所有镜像手动启动扫描。也可以设置策略,使系统定期自动扫描所有镜像。说明:本文中harbor使用的截图以 Harbor v2.11.0 为例,具体操作以实际环境版本为准。
云原生安全检测器 Narrows发布,在Harbor上增加容器安全的动态扫描
VMware中国研发中心
02-16 1312
CNSI, 即云原生安全检测器(Cloud Native Security Inspector),项目代号: Narrows。在 Harbor 的基础上,Narrows 增强了动态安全方面的能力,它允许用户对 Kubernetes 集群和其中的工作负载进行运行时的安全态势评估。
Harbor集成clair-镜像各层安全扫描工具
惊云
03-02 1860
Harbor集成clair Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。 安装方式 在habor中集成clair的功能,方式非常简单,只需要在安装史指定with-clair选项即可 安装命令:sh install.sh –with-clair
Harbor镜像仓库漏洞扫描功能
weixin_33964094的博客
04-11 960
镜像漏洞扫描功能简介 开源企业级镜像仓库 Harbor v1.2 新增了镜像漏洞扫描的功能,可以帮助用户发现容器镜像中的安全漏洞,及时采取防范措施。 容器镜像本质上是一系列静态文件的集合,也是容器应用运行的时候可见的文件系统。镜像扫描就是遍历所有镜像中的文件系统,逐个检查软件包(Package)是否包含安全漏洞。这个过程有点像我们电脑里面的扫病毒软件做的事情,把电脑的所有文件进行分析,和已知病毒数...
bitnami-docker-harbor-adapter-clair:用于Harbor适配器Clair的Bitnami Docker映像
03-12
用于ClairHarbor扫描仪适配器是一项将Harbour扫描API转换为Clair API调用的服务,并允许Harbor使用Clair来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 Clair是一个开源项目,...
容器镜像安全扫描工具推荐——镜界容器镜像漏洞扫描器可支持与harbor镜像仓库无缝集成
Dosecnews的博客
01-14 6555
镜像安全的解决方案 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这...
Harbor离线安装及扫描器的使用
Mico18的博客
12-27 1299
安装docker,安装docker-compose,离线安装Harbor,升级docker-compose,docker-compose启动HarborHarbor的配置和使用,docker配置Harbor私有仓库,Harbor安装扫描器,Harbor扫描器的使用
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
Harbor集成Clair镜像安全扫描并手动导入漏洞数据
arnolan的博客
10-21 5820
通过这篇文章,你会了解到: harbor启停方法 clair镜像扫描原理 harbor数据库(MySQL)一览 clair数据库(PostgreSql)一览 harbor手动导入漏洞数据方法 背景 先说明下背景和版本 公司内网使用(无Internet)Harbor:V1.5.0,没有Clair,没有启用https。 需求:开启使用Clair进行镜像安全扫描。 PS:harbor介绍及安装可以...
harbor 镜像仓库添加离线安全扫描Vulnerability Data
明日网络的博客
07-01 322
1、Dump Vulnerability Data docker exec b1e093cde3ab /bin/sh -c "pg_dump -U postgres -a -t feature -t keyvalue -t namespace -t schema_migrations -t vulnerability -t vulnerability_fixedin_feature" > vulnerability.sql docker exec b1e093cde3ab /bin/sh -c..
[kubernetes]-harbor安装扫描Clair
爷来辣的博客
06-18 774
harbor安装扫描
Harbor的WebHooks功能和扫描器的使用
qq_23445457的博客
11-17 1770
Harbor的WebHooks功能使用目的WebHooks案例:pushImage 目的 为了对Harbor的镜像实时监控,便研究了下Harbor自带的WebHooks功能。 WebHooks 支持的功能如图所示: 当开启功能后,执行图中的操作就会发送相应的请求到指定的地址。官网对每个请求的详细描述其实不怎么清晰,下面以pushImage为例,看下如果是在实际的开发中应该怎么去集成这个功能。 案例:pushImage 写一个简单的server,捕获起发送的内容 from flask import Fl
docker harbor镜像漏洞扫描
qq_36270681的博客
09-28 686
通常情况下这个插件需要手动开启 ./prepare --with-clair 需要重启服务: [root@client_15_k8s_clould harbor]# docker-compose -f docker-compose.yml up -d Creating network "harbor_harbor-clair" with the default driver WARNING: Found orphan containers (chartmuseum) for this pr...
Harbor 启用镜像扫描功能方法
随笔记录-分享&记忆
10-31 2590
Harbor Github地址,里面也有各种安装说明 A demo environment with the latest Harbor stable build installed. For additional information please refer to this page. 账号信息:admin/Harbor12345 Harbor 启用镜像扫描功能方法:在安装时增加 --w...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值