如何使用 Harbor 和 Trivy 快速扫描镜像漏洞

最新推荐文章于 2023-10-05 17:41:21 发布
最新推荐文章于 2023-10-05 17:41:21 发布
阅读量1.1k 收藏 1
点赞数 1
原文链接:https://mp.weixin.qq.com/s?__biz=MzI3MTI2NzkxMA==&mid=2247527464&idx=1&sn=164ab2f774a742503a1768eaab6a3e28&chksm=eac64d01ddb1c417cec8341d4f4ad9d385323f30ea08dfba12c6f1afba74d05fa79fae51de7d&scene=126&sessionid=0
版权

公众号关注 「奇妙的 Linux 世界」

设为「星标」,每天带你玩转 Linux !

5944cf5dc72c99db72ccac4a9da1e70e.png


      “安全”一直是一个不容忽视的问题,在云原生领域同样如此。

  云原生中的服务都是以容器的方式运行,而容器则是基于镜像启动,本篇文章则从“镜像”漏洞扫描来从“根本”去发现、解决云原生的“安全”问题。

Trivy简介

  • Tivy官网:https://aquasecurity.github.io/trivy/v0.33/

  • 项目地址:https://github.com/aquasecurity/trivy/

  Trivy是一种适用于 CI 的简单而全面的容器漏洞扫描程序。软件漏洞是指软件或操作系统中存在的 故障、缺陷或弱点。Trivy 检测操作系统包(Alpine、RHEL、CentOS 等)和应用程序依赖 (Bundler、Composer、npm、yarn 等)的漏洞。

  Trivy 很容易使用,只要安装二进制文件,就可以扫描了。扫描只需指定容器的镜像名称。与其他镜像扫描工具相比,例如 Clair、Anchore Engine、Quay 相比,Trivy 在准确性、方便性和对 CI 的支持等方面都有着明显的优势。

  推荐在 CI 中使用它,在推送到 container registry 之前,你可以轻松地扫描本地容器镜像。

Trivy 的特点

  • 无需安装数据库、库等先决条件;

  • 使用简单,仅仅只需要指定镜像名称;

  • 易于安装测试:

  • 能检测全面的漏洞;
    (1)操作系统软件包:Alpine、Red Hat Universal Base  Image、Red Hat Enterprise Linux、CentOS、Oracle Linux、Debian、Ubuntu、Amazon  Linux、openSUSE Leap、SUSE Enterprise Linux、Photon OS 和 Distrioless;
    (2)应用程序依赖项:Bundler、Composer、Pipenv、Poetry、npm、yarn 和 Cargo;

  • 扫描快且无状态;
    第一次扫描将在 10 秒内完成(取决于网络)。随后的扫描将在一秒钟内完成。与其他扫描器在第一次运行时需要很长时间(大约 10 分钟)来获取漏洞信息,并鼓励你维护持久的漏洞 数据库不同,Trivy 是无状态的,不需要维护或准备;

Trivy安装

  基于CentOS系统的rpm包进行安装,其它系统安装包可从项目地址进行下载。

$ wget https://github.com/aquasecurity/trivy/releases/download/v0.31.3/trivy_0.31.3_Linux-64bit.rpm
$ rpm -ivh trivy_0.31.3_Linux-64bit.rpm

Trivy使用

扫描镜像

使用Trivy扫描镜像的漏洞。

$ trivy image {image_name}:{tag}
182bd97405c639586388b9f4b103ef41.png

扫描kubernetes集群

$ trivy k8s --report summary cluster

be069090c0dbc6819c618bd366a573d0.pngVulnerabilities:漏洞;
Misconfigurations:表示配置错误;

Trivy & Harbor

  在前面对介绍了Trivy镜像漏洞扫描工具的安装和使用。那么,在启用大规模的镜像中,一个一个的进行漏洞扫描显然是不太现实的。

   我们都知道,企业的容器镜像一般都是存放在Harbor私有镜像仓库的,值得令人庆幸的是:Harbor以插件化的方式集成了Trivy镜像漏洞扫描工具,可以在Harbor的UI界面设置当镜像上传到Harbor的时候自动对该镜像进行扫描。同时,对于扫描出高危漏洞的镜像可以禁止被应用进行拉取。当然,如果您可以接受该高危漏洞的镜像,希望可以继续使用它们,

Harbor中安装Trivy插件

  在安装Harbor时,可以通过--with-trivy参数来安装Trivy插件。1ae7c3fec7e5321e048437213fb096e4.png  如果已经安装好Harbor,但是没有安装Trivy,需要停止harbor再安装Trivy插件:

$ cd /app/harbor/  #进入到Harbor安装目录
$ docker-compose down   #停止Harbor服务
$ ./install.sh  --with-notary --with-trivy --with-chartmuseum

Harbor中Trivy的使用

在Harbor中安装好Trivy后,可以在Harbor UI看到:

6d6a4722936f64bdd354b2a97e95a3cd.png
1)定时进行漏洞扫描

在“系统管理”-“审查服务”-“漏洞”出设置计划任务来定时自动进行漏洞扫描。8a17ff8bccb46af5dd48ee8c55250219.png

2)镜像上传自动扫描及阻止漏洞镜像被拉取

在“项目”—“项目名称”-“配置”管理来对指定项目进行单独配置镜像上传自动扫描并阻止漏洞镜像被拉取。

67a440b7351c21ad4c331c9614d6a813.png

本文转载自:「Harbor进阶实战」,原文:https://url.hi-linux.com/8Wt00,版权归原作者所有。欢迎投稿,投稿邮箱: editor@hi-linux.com。

9409687f79e4b41eb4df8a27a4cc884b.gif

最近,我们建立了一个技术交流微信群。目前群里已加入了不少行业内的大神,有兴趣的同学可以加入和我们一起交流技术,在 「奇妙的 Linux 世界」 公众号直接回复 「加群」 邀请你入群。

ddb97c9fe93e12fa84dc3f7b47aa4fde.png

你可能还喜欢

点击下方图片即可阅读

d56a2c062fab9b9ace5a289e3d2bc913.jpeg

『百分百有效』的程序员正确提问方式,你知道吗?

df8b553e9f394213b1bdb4f05d6cbfb6.png
点击上方图片,『美团|饿了么』外卖红包天天免费领

3fc382cf307d54fa55014f7797503203.png

更多有趣的互联网新鲜事,关注「奇妙的互联网」视频号全了解!

运维之美
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
Trivy + Harbor实现镜像漏洞的简单、高效扫描
风水道人
10-30 1386
Trivy + Harbor实现镜像漏洞的简单、高效扫描
Harbor 2.0版本API删除镜像【亲测,有效!】
02-28
通过Harbor api获取项目名、仓库名、镜像名和镜像tag,交互删除需要删除的镜像
如何使用Harbor私有镜像仓库.zip
05-28
本视频详细总结了如何使用Harbor私有镜像仓库,视频教程:https://www.bilibili.com/video/BV1ss4y1T7gB?p=1
Harbor-麒麟v10-arm架构镜像
04-17
在国产麒麟系统arm架构服务器上需要部署Harbor的可以试一下
harbor+trivy的安装使用——筑梦之路
筑梦之路
07-21 1297
这些部分的安装这里就不再赘述。
Harbor 镜像仓库存在未授权访问漏洞
whoami
01-16 5837
Harbor 受影响版本中镜像仓库存在访问控制缺陷,攻击者可通过页面搜索镜像名称,绕过登陆验证逻辑,直接查看结果中未授权的私有镜像仓库并获取仓库信息(Pull、Push的时间和commit信息,以及镜像存在的漏洞信息等)。本漏洞广泛存在于业界使用harbor版本中。不过harbor常放置于企业内网,可以缓解该问题。Harbor 是一个开源的 Docker Registry 管理项目,用于托管容器镜像。升级harbor到 2.6.0 或更高版本。
harbor注册功能逻辑漏洞
Websec
07-15 4672
一、漏洞介绍 此漏洞属于一个严重的权限提升漏洞,该漏洞使任何人都可以在其默认设置下获得管理员权限。 该漏洞已分配给CVE-2019-16097,已于9月10日公开。 Harbor是一个开源的云原生注册表,用于存储,签名和扫描图像以查找漏洞Harbor与Docker Hub,Docker Registry,Google Container Registry和其他注册表集成。 它提供了一个简单的GUI,允许用户根据其权限下载,上传和扫描图像。 二、影响版本 Harbor 1.7.0版本至1.8
Harbor+Trivy实现镜像漏洞扫描
逗小豆zz的博客
10-05 679
漏洞列表中可以看到包含风险的组件和版本信息,以及该漏洞的修复版本。使用oras命令获取离线扫描数据库,该过程可能耗时很长。设置扫描镜像时跳过更新漏洞库,以离线方式进行扫描扫描完成后将以表格形式输出镜像包含的漏洞信息。扫描结束后可以查看漏洞数量和漏洞分布。是harbor存放数据的根目录,在。压缩文件,将这两个文件分别复制到。参数同时安装trivy组件。该命令仅下载离线库文件缓存在。安装Harbor时,指定。选择要扫描镜像,在。
Harbor 集成trivy 实现镜像漏洞扫描
云原生,DevOps,Kubernetes
04-20 7971
trivy Github上有trivy详细的特性介绍,这篇博文只关注trivyHarbor集成。 Harbor 可以使用–with-clair安装Clair scanner。其它scanner都需要自己配置。 第一步:安装配置Trivy github 上介绍的trivy 是安装版,与harbor集成并不能直接使用。与harbor集成需要使用Harbor Scanner Adapter for ...
docker镜像仓库harbor集成trivy及仓库api等全家桶
MarshalEagle的博客
09-16 1474
一、安装docker [root@localhost home]# yum install -y yum-utils device-mapper-persistent-data lvm2 [root@localhost home]# yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo [root@localhost home]# yum makeca
harbour-scanner-trivy:将Trivy用作Harbor注册表中的插件漏洞扫描程序
02-12
用于TrivyHarbor扫描仪适配器 用于的Harbor 是一项将扫描API转换为Trivy命令的服务,并允许Harbor使用Trivy来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 目录 入门 这些说明将为您提供适配器服务的副本,并在您的本地计算机上运行该适配器服务,以进行开发和测试。 有关如何在实时系统上进行的注释,请参阅。 先决条件 码头工人 港口> = 1.10 建立 运行make在./scanner-trivy构建二进制./scanner-trivy : $ make 要构建到Docker容器中: $ make docker-build 在Kubernetes上运行 在下面的说明我假设你安装了港湾> = 1.10在harbor命名空间,它在很接近 。 $ helm repo add harbor https://helm.gohar
Harbor2.6.0 最新版私有镜像仓库
09-03
Harbor2.6.0 最新版私有镜像仓库
安装和配置Harbor镜像仓库
05-13
主要介绍关于harbor的基本简介和harbor的安装,安装前的证书的相关生成和签发等的相关操作步骤
Harbor 2.0 快速部署经验分享
亨利笔记
06-12 1258
题图摄于旧金山渔人码头本文系Harbor社区用户经验分享文章,首发于公众号:运维及时雨,授权转发。作者简介:杜秋,云计算运维工程师,目前主要从事Kubernetes技术栈的CI/CD运维...
网络安全的重要性
yz_weixiao的博客
03-29 549
前言昨天晚上有朋友将公网上的一台 redis 密码设置为 123456,并且觉得没什么影响,再结合我之前毕业设计时被删库勒索,以及工作中碰到的网络安全相关的事情,就有了本篇感想,网络安全离我们并不远!毕设 MongoDB 被删库哪是答辩前的一天,我发现系统无法登录了,查看日志,报 error not found,连接数据库一看,好家伙,新闻报道中的勒索事件就发生在了我身上。说实话,当时看到这个还有点小激动,甚至发了一条朋友圈(第一次碰到这种事,且由于数据不是很珍贵,跑一遍代码就重新生成了)
Harbor安装教程-完全根据官方文档2.6.0版本
w874307446的博客
09-27 4888
Harbor安装2.6.0版本
云原生|kubernetes|安全漏扫神器trivy的部署和使用
zsk_john的技术分享专用博客
01-05 3744
由此,我们可以得出一个结论: kubernetes集群的部署使用kubeadm是没什么问题的,但etcd,flannel。kube-proxy这些组件最好还是二进制部署。
Harbor 漏洞镜像扫描部署
R0ot
10-14 1189
docker tag SOURCE_IMAGE[:TAG] 192.168.91.128/tomcat/REPOSITORY[:TAG] #镜像标记。docker push 192.168.91.128/tomcat/REPOSITORY[:TAG] #推送项目。先vim /etc/docker/daemon.json文件黏贴下面文件进去、wq保存。添加漏扫、认证地址为安装scanner的地址、之后点击测试连接、添加即可。打包镜像推送到harbor上,先登陆harbor上面创建项目。harbor下载安装。
Java_带有可选web的开源命令行RatioMaster.zip
最新发布
05-22
Java_带有可选web的开源命令行RatioMaster
harbor怎么限制同时拉取镜像包的数量
07-11
要限制Harbor同时拉取镜像的数量,你可以通过修改Harbor的配置文件来实现。下面是一种可能的方法: 1. 进入Harbor服务器的配置目录。默认情况下,配置文件位于`/etc/harbor`目录下。 2. 打开`harbor.yml`配置文件进行编辑。 3. 在文件中找到`job_service`部分,这是用于调度拉取镜像的配置。 4. 在`job_service`部分中添加或修改以下参数来限制同时拉取镜像的数量: ``` job_queue: max_concurrent: 2 ``` 上述示例中,`max_concurrent`参数被设置为2,这表示同时最多只能有2个拉取镜像的任务在执行。你可以根据需要进行调整。 5. 保存并关闭配置文件。 6. 重启Harbor服务,使配置生效。 完成以上步骤后,Harbor将限制同时拉取镜像的数量为你所设置的值。请注意,在修改配置文件之前,建议备份原始配置文件以便恢复。如果你使用的是Docker Compose启动Harbor,请确保在重启Harbor服务之前重新构建并重新启动相关容器。 希望这些信息对你有所帮助!如果有更多问题,请随时向我提问。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值