Centos安装docker-compose、harbor仓库及harbor-scanner搭建容器安全

最新推荐文章于 2024-04-01 09:51:15 发布
最新推荐文章于 2024-04-01 09:51:15 发布
阅读量306 收藏 1
点赞数
文章标签: docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_47760818/article/details/119870681
版权

搭建自己的容器安全环境

本文章为终极缝合怪,人比较菜,一直出问题,找了许多教程解决,部分教程如下:
Harbor镜像仓库(含clair镜像扫描) - 完整部署记录
Harbor安装配置全过程
Harbor安装流程
harbor-scanner搭建

前期准备

提前准备虚机一台(我的机器:192.168.122.147)

安装组件

1.docker-compose
2.harbor-scanner

部署过程如下:

一、基础部署部分

1、开SSH

systemctl enable sshd

2、关闭SELINUX

vi /etc/sysconfig/selinux

修改下边标示部分

# This file controls the state of SELinux on the system.
# SELINUX= can take one of these three values:
#     enforcing - SELinux security policy is enforced.
#     permissive - SELinux prints warnings instead of enforcing.
#     disabled - No SELinux policy is loaded.
SELINUX=disabled  **##修改为disabled**
# SELINUXTYPE= can take one of three values:
#     targeted - Targeted processes are protected,
#     minimum - Modification of targeted policy. Only selected processes are protected.
#     mls - Multi Level Security protection.
SELINUXTYPE=targeted

3、安装rz

yum -y install lrzsz

之后上传文件一定要用-be参数(其中-b是–binary用二进制的方式上传,-e是–escape强制escape所有控制字符),否则上传的文件不完整

rz –be

4、安装wget

yum -y install wget

5、更换yum源,用于提速yum

(1)备份yum源

mv /etc/yum.repos.d/CentOS-Base.repo /etc/yum.repos.d/CentOS-Base.repo.backup

(2)下载新的CentOS-Base.repo 到/etc/yum.repos.d/

wget -O /etc/yum.repos.d/CentOS-Base.repo http://mirrors.aliyun.com/repo/Centos-7.repo

清理缓存

yum clean all

重新生成缓存

yum makecache

6、关闭防火墙

systemctl stop firewalld

systemctl disable firewalld

二、组件部署部分

1.python安装(Centos7默认安装python2)
2.docker安装(不要偷懒使用yum install docker –y安装,安装的不是最新版)
(1)安装所需的软件包 yum-utils、device-mapper-persistent-data和 lvm2

yum remove docker-latest-logrotate docker-logrotate docker-selinux dockdocker-engine

yum install -y yum-utils device-mapper-persistent-data lvm2

可能出现问题:提示无法连接docker官网提供的源
解决办法:使用阿里云的镜像节点供测试使用

yum-config-manager --add-repo http://mirrors.aliyun.com/docker-ce/linux/centos/docker-ce.repo

rpm --import http://mirrors.aliyun.com/docker-ce/linux/centos/gpg

yum makecache fast

yum -y install docker-ce

检查docker运行状态

systemctl start docker

systemctl status docker

将docker加入启动项

systemctl enable docker

查看docker版本

 docker --version

3.安装pip和 setuptools
(1)离线安装
前往官网下载最新离线包[setuptools 官网地址]pip 官网地址(https://pypi.org/project/setuptools/)
安装包位置
pip 离线包位置

将离线包上传至服务器

-rw-r--r--. 1 root root     2141309 820 11:21 setuptools-57.4.0.tar.gz
-rw-r--r--. 1 root root     1564487 820 11:30 pip-21.2.4.tar.gz

解压文件安装

tar -zxvf setuptools-57.4.0.tar.gz
tar -zxvf pip-21.2.4.tar.gz
cd setuptools-57.4.0
python install setuptools
cd pip-21.2.4
python setup.py install

(2)在线安装


修改pip为国内源

vim ~/.pip/pip.conf
[global]
index-url = http://mirrors.aliyun.com/pypi/simple/

[install]
trusted-host=mirrors.aliyun.com

(2)在线安装
可能出现问题:yum安装报错
解决办法:清除yum缓存

yum clean all
yum makecache

安装pip和setuptools

yum install python-pip
yum -y install epel-release python-pip
yum -y install python-pip
pip install --upgrade pip --user
pip install --upgrade pip  ##升级最新版本

yum  install  setuptool
yum  install  ntsysv
yum  install  iptables
yum  install  system-config-securitylevel-tui
yum  install  system-config-network-tui

4.安装docker-compose
官方教程
(1)运行此命令以下载 Docker Compose 的当前稳定版本:

sudo curl -L "https://github.com/docker/compose/releases/download/1.29.2/docker-compose-$(uname -s)-$(uname -m)" -o /usr/local/bin/docker-compose

(2)对二进制文件应用可执行权限:

sudo chmod +x /usr/local/bin/docker-compose

(3)测试安装

docker-compose --version

(4)升级

docker-compose migrate-to-labels

还可以使用pip安装:

pip install docker-compose

5.安装Harbor
下载解压安装包

wget -c https://storage.googleapis.com/harbor-releases/release-1.8.0/harbor-offline-installer-v1.8.2-rc1.tgz
yum-config-manager --add-repo http://mirr
cd harbor

修改配置文件

vim harbor.yml

按情况修改,hostname=IP地址或域名,harbor_admin_password=Web端admin用户密码
在这里插入图片描述
安装harbor:

./prepare
./install.sh --with-clair
........
........
✔ ----Harbor has been installed and started successfully.----

查看启动状态:

docker-compose ps
    Name                     Command                  State                          Ports
---------------------------------------------------------------------------------------------------------------
clair               ./docker-entrypoint.sh           Up (healthy)   6060/tcp, 6061/tcp
clair-adapter       /home/clair-adapter/entryp ...   Up (healthy)   8080/tcp
harbor-core         /harbor/entrypoint.sh            Up (healthy)
harbor-db           /docker-entrypoint.sh            Up (healthy)   5432/tcp
harbor-jobservice   /harbor/entrypoint.sh            Up (healthy)
harbor-log          /bin/sh -c /usr/local/bin/ ...   Up (healthy)   127.0.0.1:1514->10514/tcp
harbor-portal       nginx -g daemon off;             Up (healthy)   8080/tcp
nginx               nginx -g daemon off;             Up (healthy)   0.0.0.0:80->8080/tcp, 0.0.0.0:443->8443/tcp
redis               redis-server /etc/redis.conf     Up (healthy)   6379/tcp
registry            /home/harbor/entrypoint.sh       Up (healthy)   5000/tcp
registryctl         /home/harbor/start.sh            Up (healthy)

状态全部为UP即可使用web访问harbor:
在这里插入图片描述
e.g.web、拉取镜像等操作可见第一个教程链接。
6.harbor-scanner 部署
可见第四个教程链接。
(1)下载 Harbor-Scanner 的离线安装包并解压

wget https://github.com/dosec-cn/harbor-scanner/releases/download/v1.2/dosec-scanner.tgz
# 解压
tar zxf dosec-scanner.tgz
# 进入项目
cd dosec-scanner

(2)运行 Install 脚本

./Install.sh
平平无奇的Kail
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
容器镜像安全扫描工具推荐——镜界容器镜像漏洞扫描器可支持与harbor镜像仓库无缝集成
Dosecnews的博客
01-14 6539
镜像安全的解决方案 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这...
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-ScannerHarbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
玩转容器安全三 - Harbor私有镜像仓库
zero
12-11 2182
Harbor: https://github.com/goharbor/harbor # Operation System: CentOS 7 # Docker Version: 19.03.13 # Harbor Version: 1.10.6 # Docker-Compose Version: 1.27.4 Harbor安装与使用 Harbor离线与在线安装 Harbor官方安装文档:https://goharbor.io/docs/2.0.0/install-config/ 推荐使用离线的安装
cenos 7.5 下安装 dockerdocker-composeharbor
u010950890的博客
02-05 152
安装docker 1、 更新yum 执行命令:yum update 2、安装依赖 执行命令:yum install -y yum-utils device-mapper-persistent-data lvm2 3、设置yum 源 执行命令:yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo 4、查...
centos*安装docker,docker-compose,镜像仓库VMware Harbor 安装
皇夜_的博客
11-06 542
1.查看下你的系统内核是多少 uname -r 2.-查看系统版本 cat /etc/issue CentOS release 6.5 (Final) Kernel \r on an \m 3.执行 rpm -ivh http://dl.Fedoraproject.org/pub/epel/6/x86_64/epel-release-6-...
harbour-scanner-trivy:将Trivy用作Harbor注册表中的插件漏洞扫描程序
02-12
用于Trivy的Harbor扫描仪适配器 用于的Harbor 是一项将扫描API转换为Trivy命令的服务,并允许Harbor使用Trivy来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 目录 入门 这些说明将为您提供适配器服务的副本,并在您的本地计算机上运行该适配器服务,以进行开发和测试。 有关如何在实时系统上进行的注释,请参阅。 先决条件 码头工人 港口> = 1.10 建立 运行make在./scanner-trivy构建二进制./scanner-trivy : $ make 要构建到Docker容器中: $ make docker-build 在Kubernetes上运行 在下面的说明我假设你安装了港湾> = 1.10在harbor命名空间,它在很接近 。 $ helm repo add harbor https://helm.gohar
centos7使用docker-compose安装es(包括IK分词器扩展)+kibana
04-13
3、dockerdocker-compose安装要提前安装完成 4、将下载内容解压一个目录 5、运行 docker-compose up # 此命令环境会在终端前台运行 docker-compose up -d # 加上-d会放入后台进行环境的启动 如有问题,欢迎进行...
Centos7 安装docker-compose
01-09
Docker 安装docker-compose 使用二进制包进行安装Linux 上的也安装十分简单,从 官方 GitHub Release 处直接下载编译好的二进制文件即可。 例如,在 Linux 64 位系统上直接下载对应的二进制包。 curl -L ...
CentOS Liunx 7 下安装docker-compose
01-09
传送门:CentOS7 安装 DockerDocker-compose 2. 问题 国内下载偶尔会抽风 下载特别慢 3.解决 下载文章的资源 / 传送门 解压获取到两个版本 选择liunx版本 通过Xftp或者其他方式上传到 /usr/local/bin 路径 通过...
centos安装docker-compose
11-19
Linux系统,特别是CentOS安装Docker Compose是一个重要的步骤,因为它可以帮助我们管理和运行基于Docker容器的应用程序。Docker Compose是一个工具,它允许我们通过YAML配置文件来定义和运行多容器Docker应用...
centos7离线安装docker-compose安装
04-08
上传文件到服务器,执行cp docker-compose-linux-x86_64 /usr/local/bin/docker-compose 安装完成,执行docker-compose -v 查看版本号是否安装成功
部署harbor(版本V2.2.2)镜像仓库并使用(自建)CA证书、harbor镜像清理、Harbor-Scanner 镜像扫描
weixin_43273856的博客
03-11 1153
本文讲解如何部署harbor镜像仓库并使用(自建)CA证书,以及如何使用(自建)CA证书,harbor镜像清理、Harbor-Scanner 镜像扫描
Harbor Scanner:保障你的容器安全的利器
最新发布
gitblog_00013的博客
04-01 450
Harbor Scanner:保障你的容器安全的利器 项目地址:https://gitcode.com/dosec-cn/harbor-scanner Harbor 是一个企业级的容器镜像仓库,它提供了高级的安全特性,如访问控制、图像扫描和日志审计等。而 Harbor Scanner 则是针对 Harbpor 的一款集成式安全扫描插件,旨在帮助用户更有效地发现并管理他们存储在 Harbor 中的容...
Harbor离线安装及扫描器的使用
Mico18的博客
12-27 1285
安装docker安装docker-compose,离线安装Harbor,升级docker-composedocker-compose启动HarborHarbor的配置和使用,docker配置Harbor私有仓库Harbor安装扫描器,Harbor扫描器的使用
harbor scanner 从原理到构建
huzai9527的博客
07-14 568
为了让harbor能够支持更多的漏扫工具(大家也都知道,一些做安全的公司自己内部是会维护和积累漏洞信息的,但是这样的信息并不会开源出来),因此harbor有必要提供一个通用的框架能够使用户能够自定义sanner,以此检查harbor中image的漏洞信息。如是,harborsanner应运而生。......
docker基础:私库系列:再探Harbor:(5)集成clair
热门推荐
知行合一 止于至善
08-21 1万+
Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成了clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。
容器安全01:docker漏洞扫描
煜铭2011
06-19 3301
0x00背景 镜像是容器的最基础的载体,docker作为最流行的容器runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像的安全就决定了容器安全。 但现实不乐观,在docker官方镜像中有超过30%的镜像有高危漏洞,平均每一个镜像有127个中危漏洞,几乎没有镜像没有漏洞。镜像在构建过程中会安装依赖组件,这些组件存在大量漏洞,而这仅仅是基础运行环境的软件漏洞。 对于镜像的安全控制可以在三个地方: 1、构建时,在使用持续集成平台自动...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值