Docker-bench-security安全CIS基准测试工具
介绍
使用Docker来容纳您的应用程序和服务可以为您提供开始即用的一些安全优势,但默认的Docker安装仍然有一些空间可用于一些与安全相关的配置改进。在互联网安全中心为了促进互联网安全创造了一个按步骤确保docker安全的清单。随后,Docker团队发布了一个安全审计工具- Docker Bench for
Security,在Docker主机上运行此清单并记录它发现的任何问题。
在本教程中,我们将安装Docker Bench for Security,然后使用它来评估Ubuntu
16.04主机上默认Docker安装(来自官方Docker存储库)的安全性。然后我们将解决它发出的警告。
我们的修复程序主要包括以下两个配置更新:
- 安装auditd和设置Docker守护程序及其关联文件的审核规则
- 更新Docker的daemon.json配置文件
我们不会详细介绍有关创建安全容器的任何细节,我们将只关注本教程中Docker主机安全性的更新。有关容器Docker的相关知识可以访问腾讯云社区开发者手册Docker中文手册以及腾讯云专属在线实验平台基于CentOS
搭建Docker环境。
第1步,安装Docker Bench Security
我们将首先使用Docker Bench for Security脚本克隆到服务器git,然后直接从克隆的存储库运行脚本。
导航到用户可以写入的目录。在此示例中,我们将脚本下载到用户的主目录:
$ cd ~
然后克隆docker-bench-securityGit存储库:
$ git clone https://github.com/docker/docker-bench-security.git
这将从repo中提取所有文件并将它们放在本地docker-bench-security目录中。接下来,进入此结果目录:
$ cd docker-bench-security
最后,要执行安全审核,请运行docker-bench-security.sh脚本:
$ ./docker-bench-security.sh
docker run 命令安装 Docker Bench Security:
## docker run 命令安装 Docker Bench Security
docker run --rm --net host --pid host --userns host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /etc:/etc:ro \
-v /usr/bin/containerd:/usr/bin/containerd:ro \
-v /usr/bin/runc:/usr/bin/runc:ro \
-v /usr/lib/systemd:/usr/lib/systemd:ro \
-v /var/lib:/var/lib:ro \
-v /var/run/docker.sock:/var/run/docker.sock:ro \
--label docker_bench_security \
docker/docker-bench-security
检查结果:
第2步, 确保为各种Docker文件配置了审核
inux auditd
工具可以将审计记录写入日志文件。包括记录系统调用和文件访问。管理员可以检查这些日志,确定是否存在安全漏洞,指定docker文件到linux的审计规则中
-
1.1、确保Docker daemon要将审计的能力进行配置
-
1.2、确保对docker文件和目录进行审计
-
1.3、同样是对Docker文件和目录进行审计的检查
-
1.4、确保启动systemd文件进行审计检查
-
1.5、确保docker client和docker守护进程之间与localhost的通信
-
1.6、确保docker.service文件进行审计
-
1.7、确保docker.socket文件进行审计
-
1.8、确保/usr/sbin/runc容器命令行工具进行审计
cat > /etc/audit/rules.d/docker-audit.rules <<'EOF'-w /usr/bin/docker -k docker
-w /usr/lib/systemd/system/docker.service -k docker
-w /usr/lib/systemd/system/docker.socket -k docker
-w /usr/bin/docker-containerd -k docker
-w /usr/bin/docker-runc -k docker
-w /etc/docker -k docker
-w /etc/docker/daemon.json -k docker
EOF
第3步, 更正Docker守护程序配置警告
审计的这一部分涉及Docker守护程序的配置。这些警告都可以通过为被调用的守护进程daemon.json创建配置文件来解决,我们将向其添加一些与安全相关的配置参数。我们将首先创建并保存此配置文件,然后逐个查看配置中的测试和相应行。
首先,在您喜欢的编辑器中打开配置文件:
$ sudo nano /etc/docker/daemon.json
这将显示一个空白文本文件。粘贴如下:
/etc/docker/daemon.json
{
"icc": false,
"userns-remap": "default",
"log-driver": "syslog",
"disable-legacy-registry": true,
"live-restore": true,
"userland-proxy": false,
"no-new-privileges": true
}
保存并关闭该文件,然后重新启动Docker守护程序,以便它获取此新配置:
$ sudo systemctl restart docker
您现在可以重新运行审核以确认已解决所有第2节警告。
我们插入到此文件中的配置变量的排列顺序与审计警告的顺序相同。让我们来逐个查看:
2.1确保默认网桥上的容器之间的网络流量受限
此警告在配置文件"icc": false中解决。此配置创建的容器只能在使用–link=container_name Docker命令行或Docker
Compose配置文件中的links:参数显式链接时才能相互通信。这样做的一个好处是,如果攻击者攻击一个容器,他们将很难找到并攻击同一主机上的其他容器。
2.8启用用户命名空间支持
Linux命名空间为容器中运行的进程提供了额外的隔离。用户命名空间重新映射允许进程在容器中以root用户身份运行,同时重新映射到主机上权限较低的用户。我们使用"userns-
remap":"default"配置文件中的行启用用户命名空间重新映射。
我们将参数设置为default,这意味着Docker将创建一个dockremap用户,容器用户将被重新映射到该用户。您可以使用以下命令验证dockremap用户是否已创建id:
$ sudo id dockremap
您应该看到类似于以下内容的输出:
uid=112(dockremap) gid=116(dockremap) groups=116(dockremap)
如果将容器用户重新映射到其他主机用户对您的用例更有帮助,请在配置文件default中指定用户或用户组。
警告:用户重新映射功能强大,如果配置不当可能会导致中断和破坏,因此强烈建议您[阅读官方文档](https://docs.docker.com/engine/security/userns-
remap/#about-remapping-and-subordinate-user-and-group-ids
“阅读官方文档”)并了解在生产环境中实施此更改之前的含义。
2.11确保已启用Docker客户端命令的授权
如果您需要允许网络访问Docker套接字,您应该查阅官方Docker文档,以了解如何安全地设置必要的证书和密钥。
我们不会在这里讨论这个过程,因为具体细节在很大程度上取决于个别情况。审计将继续将此测试标记为WARN,访问默认的仅限本地的Docker套接字是通过要求docker组中的成员资格来保护的,因此可以放心地忽略它。
2.12确保配置了集中式和远程日志记录
在Docker守护程序配置文件中,我们已使用"log-
driver":"syslog"行启用标准syslog日志记录。然后,您应该配置syslog以将日志转发到集中式syslog服务器。这会从Docker主机上获取日志,并远离可能更改或删除它们的攻击者。
如果您只想转发Docker日志并且不想发送syslog,则可以通过将以下参数附加到文件来在Docker配置文件中指定远程syslog服务器:
/etc/docker/daemon.json "log-opts": { "syslog-address": "udp://198.51.100.33:514" }
请务必使用您自己的syslog服务器地址替换IP地址。
或者,您可以使用splunk或者fluentd日志聚合服务指定日志驱动程序,也可以使用其他日志聚合服务来发送Docker守护程序日志。有关Docker日志驱动程序及其配置的更多信息,请参阅Docker日志驱动程序官方文档。
2.13确保遗留注册表(v1)上的操作已禁用
此警告由守护程序配置文件中的"disable-legacy-registry":
true行修复。这会禁用不安全的旧映像注册表协议。由于已从Docker守护程序中删除了对此协议的支持,因此该标志正在被弃用。
2.14确保已启用实时还原
通过"live-restore":
true在守护进程配置中指定,我们允许容器在Docker守护进程未运行时继续运行。这改善了主机系统更新期间的容器正常运行时间和其他稳定性问题。
2.15确保禁用Userland代理
“userland-proxy”: false行修复了此警告。这将禁用docker-
proxyuserland进程,该进程默认处理将主机端口转发到容器,并用iptables规则替换它。如果hairpin
NAT可用,则不需要userland代理,应禁用该代理以减少主机的攻击面。
2.18确保限制容器获取新权限
守护程序配置中的"no-new-privileges":
true行可防止容器内的权限升级。这保证了使用的容器不能获得新的特权setuid或setgid二进制文件。
现在我们已经更新了Docker守护程序配置,让我们在第四部分的审计中修复剩下的一个警告。
接下来我将给各位同学划分一张学习计划表!
学习计划
那么问题又来了,作为萌新小白,我应该先学什么,再学什么?
既然你都问的这么直白了,我就告诉你,零基础应该从什么开始学起:
阶段一:初级网络安全工程师
接下来我将给大家安排一个为期1个月的网络安全初级计划,当你学完后,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web渗透、安全服务、安全分析等岗位;其中,如果你等保模块学的好,还可以从事等保工程师。
综合薪资区间6k~15k
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(1周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(1周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(1周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
那么,到此为止,已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗?
阶段二:中级or高级网络安全工程师(看自己能力)
综合薪资区间15k~30k
7、脚本编程学习(4周)
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力。
零基础入门的同学,我建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习
搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP,IDE强烈推荐Sublime;
Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,没必要看完
用Python编写漏洞的exp,然后写一个简单的网络爬虫
PHP基本语法学习并书写一个简单的博客系统
熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选)
了解Bootstrap的布局或者CSS。
阶段三:顶级网络安全工程师
如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!
学习资料分享
当然,只给予计划不给予学习资料的行为无异于耍流氓,这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包,可点击下方二维码链接领取哦。
扫一扫
905
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
