你的Docker环境安全吗?

最新推荐文章于 2023-06-30 16:48:00 发布
最新推荐文章于 2023-06-30 16:48:00 发布
阅读量542 收藏
点赞数
分类专栏: 容器 云计算 docker 文章标签: docker 云计算 容器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ghostcloud2016/article/details/53421863
版权
容器 同时被 3 个专栏收录
34 篇文章 0 订阅
订阅专栏
docker
34 篇文章 0 订阅
订阅专栏
云计算
33 篇文章 0 订阅
订阅专栏

我们在日常使用docker的时候,并不清楚我们的环境是否安全,是否存在问题,今天给大家推荐一款docker环境扫描工具 - docker-bench-security. 他是一款开源的扫描工具,官方地址是:https://github.com/docker/docker-bench-security,通过运行容器,可以快速和系统的监测你的docker环境是否安全。

下面是一个运行的例子:



从上可以看出,该容器在主机配置和引擎配置两个方面进行了检查,可以说是非常全面的。Docker Bench Security是一个脚本,通过大量的best-pratice检查你的环境是否可以用于产品环境。


运行docker-bench-secrury


该项目是将扫描过程全部打包进一个小的容器,由于需要检查外部的docker运行环境,所以需要一系列特权,比如:主机的文件系统, PID,网络,systemd等。最简单的运行方式就是运行已经生成好的容器:


docker run -it --net host --pid host --cap-add audit_control \

    -v /var/lib:/var/lib \

    -v /var/run/docker.sock:/var/run/docker.sock \

    -v /usr/lib/systemd:/usr/lib/systemd \

    -v /etc:/etc --label docker_bench_security \

    docker/docker-bench-security


为了能运行这个容器,docker版本至少需要是1.10以后的版本,同时这个镜像是基于alpine的,然后通过Dockerfile进行封装。


如何获取最新版本,并编译镜像


官方镜像有时不一定是最新的,如果需要获得最新的版本,通过下面的方式:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker build -t docker-bench-security .

docker run -it --net host --pid host --cap-add audit_control \

    -v /var/lib:/var/lib \

    -v /var/run/docker.sock:/var/run/docker.sock \

    -v /usr/lib/systemd:/usr/lib/systemd \

    -v /etc:/etc --label docker_bench_security \

    docker-bench-security


或者使用docker-compose:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker-compose run --rm docker-bench-security


再或者直接在主机上使用原始脚本:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

sh docker-bench-security.sh


本项目的脚本是兼容POSIX 2004的,因此在所有的*nix系统下都是可用的。好了到这儿就基本介绍完毕了,你的docker环境扫描了吗?


了解更多Docker容器技术,可关注微信公众号“精灵云”或“godocker”

ghostcloud精灵云
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Docker安全
weixin_33672400的博客
06-24 556
整理自《Docker进阶与实战》 Docker安全Docker安全性主要体现在如下几个方面: Docker容器安全性这是指容器是否会危害到宿主机或其他容器; 镜像的安全性用户如何确保下载下来的镜像是可信的、未被篡改过的; Docker daemon的安全性如何确保发送给daemon的命令是由可信用户发起的。用户通过CLI或者R...
docker是否安全
weixin_43106248的博客
09-14 641
docker本身是共享操作系统的进程,不存在不安全一说。如果说docker安全,那么所有的Linux程序就都是不安全的,而目前全球90%以上的网站都是运行在Linux上的。docker本身是容器技术的一种,所谓容器就像一个盒子,开发者只需暴露需要暴露的端口,如一个网站就只暴露80端口。而传统的服务器和云主机,基本是开发了所有的端口,或者是大多数端口,这种暴露其实是很危险的,因此docker反而会...
Docker 容器真的安全么?
yamaxitas的专栏
07-07 1099
Docker 并没有做到对系统的完全隔离,Linux内核中未被namespace化的资源,存在安全隐患,请不要在docker 容器中以root运行应用。
docker容器安全
fy_long的博客
03-12 5850
Docker安全机制 ​ Docker目前已经在安全方面做了一定的工作,包括Docker daemon在以TCP形式提供服务的同时使用传输层安全协议;在构建和使用镜像时会验证镜像的签名证书;通过cgroups及namespaces来对容器进行资源限制和隔离;提供自定义容器能力(capability)的接口;通过定义seccomp profile限制容器内进程系统调用的范围等。如果合理地实...
15 | Docker安全:在虚拟的环境中,就不用考虑安全了吗?
08-18 7590
在13 讲中,我们讲了 Linux 系统安全。但是,当你在和同事讨论 Linux 系统安全的时候,同事表示,公司的服务都是通过 Docker 来进行容器化部署的。开发在操作中,并不会接触实际的 Linux 服务器,所以不会去关注 Linux 安全 。而且,因为容器是隔离的,就算容器被黑客攻击了,也只是容器内部受到影响,对宿主的 Linux 系统和网络都不会产生太大影响。 事实上,我知道很多人都有这种想法。但是,你在学习了安全专栏之后,可以试着思考一下,开发使用了 Docker 就一定安全吗?真的可以不用考.
生产环境安全运行Docker容器
09-30
本文是一篇译文,给大家详细介绍如何在生产环境安全运行Docker容器,有需要的小伙伴可以参考下
Docker Bench安全秘籍:守护你的容器化王国
最新发布
07-25
Docker是一个开源的应用容器引擎,它允许开发者打包他们的应用以及应用的运行环境到一个可移植的容器中,然后发布到任何流行的Linux机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口...
国光师傅的SSRF靶场docker环境.zip
01-16
靶场,是指为信息安全人员提供实战演练、渗透测试和攻防对抗等训练环境的虚拟或实体场地。在不同的领域中,靶场扮演着重要的角色,尤其是在网络安全领域,靶场成为培养和提高安全专业人员技能的重要平台。 首先,...
你的 Docker 应用是安全的吗?
wangpeng198688的专栏
01-21 955
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。
如何快速判断是否在容器环境
06-30 3892
在渗透测试过程中,我们的起始攻击点可能在一台虚拟机里或是一个Docker环境里,甚至可能是在K8s集群环境的一个pod里,我们应该如何快速判断当前是否在容器环境中运行呢? 当拿到shell权限,看到数字和字母随机生成的主机名大概率猜到在容器里了,查看进程,进程数很少,PID为1的进程为业务进程,这也是容器环境的典型特征。当然,以上这两种都是比较主观的判断。接下来,我们再来盘点下比较常用的几种检测...
判断是否工作在docker环境
mingyqf的博客
03-10 2029
判断是否工作在docker环境 方式一:判断根目录下 .dockerenv 文件 docker环境下:ls -alh /.dockerenv , 非docker环境,没有这个.dockerenv文件的 root@4cb54de415d4:/# ls -alh /.dockerenv -rwxr-xr-x 1 root root 0 Sep 6 07:09 /.dockerenv 注:定制化比较高的docker系统也可能没有这个文件 方式二:查询系统进程的cgroup信息 docker 环境下:cat
Docker-docker安全
weixin_66461008的博客
07-08 1524
1. 理解Docker安全1.1 Docker容器安全性,很大程度上依赖于Linux系统自身,评估Docker安全性时,主要考虑以下几个方面: • Linux内核的命名空间机制提供的容器隔离安全 • Linux控制组机制对容器资源的控制能力安全。 • Linux内核的能力机制所带来的操作权限安全Docker程序(特别是服务端)本身的抗攻击性。 • 其他安全增强机制对容器安全性的影响。1.2 命名空间隔离的安全
Docker安全性(一)——Docker容器真的安全吗?
每一天都有新的希望
12-03 9378
Docker安全性(一)——Docker容器真的安全吗? 本文翻译自Daniel J Walsh的一篇开源文章:http://opensource.com/business/14/7/docker-security-selinux 这篇文章是基于一个演讲中"今年在我DockerCon上的分享":http://v.youku.com/v_show/id_XODQwNjUwNTIw.html。 这将讨论Docker容器安全性,我们目前正在做什么,和我们将朝哪里走。
Docker 生产环境安全性 - 概述
kikajack的博客
03-17 2836
原文地址 在审查 Docker 安全性时,需要考虑四个主要方面: 内核固有的安全性及其支持的 namespace 及 cgroup Docker 守护进程本身的攻击面(attack surface) 容器默认的或用户自定义的配置中的漏洞 内核的“强化”安全功能以及它们如何与容器交互 1. 内核命名空间 namespace Docker 容器跟 LXC 容器类似,并且它们具有相似的安全特...
Docker安全第一话--镜像安全
安全杂货铺
12-26 1万+
Docker镜像安全概述Docker提供了docker hub可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题: 1. 下载的镜像是否被恶意植入后门? 2. 镜像所搭建的环境是否本身就包含漏洞? 3. ……Docker容器基于镜像搭建,那么镜像安全则直接决定了容器安全。 所以,对镜像进行安全扫描就变得尤其重要了,接下来,我们docker的镜像安全1. C
Shell实现Docker环境检测和安装
纸上得来终觉浅,绝知此事要躬行
10-11 4873
shell脚本执行的是bash语法,这里定一个docker_install函数: function docker_install() { echo "检查Docker......" docker -v if [ $? -eq 0 ]; then echo "检查到Docker已安装!" else echo "安装docker环境..." ...
Mac系统下docker容器无法使用--net host共享宿主机端口的解决方案
热门推荐
Duktig的博客
10-13 1万+
背景 最近使用了Mac系统的电脑作为了测试服务器,但是在Mac系统的电脑使用docker安装nginx进行反向代理,以前在centos7系统的电脑上无往不利的docker容器启动方式,反而出现了问题。 启动方式: docker run -it --name nginx --net host -v /Users/mac-server/Desktop/project:/var/www/html -v /Users/mac-server/Desktop/nginx:/nginx_conf -d nginx
判断是否在docker环境
weixin_45682070的博客
04-25 2668
方式一:判断根目录下 .dockerenv 文件 docker环境下:ls -alh /.dockerenv , 非docker环境,没有这个.dockerenv文件的 root@4cb54de415d4:/# ls -alh /.dockerenv -rwxr-xr-x 1 root root 0 Sep 6 07:09 /.dockerenv 方式二:查询系统进程的cgroup信息 docker 环境下:cat /proc/1/cgroup root@4cb54de415d4:/# cat /pr
Docker 安全么?
07-15
7. 定期更新和维护:及时更新 Docker 引擎和相关组件,以修复已知的安全漏洞,并维护容器环境安全性。 尽管 Docker 提供了这些安全性措施,但在使用 Docker 时仍然需要谨慎操作。合理配置和管理容器,定期更新和...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值