Harbor集成Clair安全扫描实践(KOS)

最新推荐文章于 2024-07-28 22:17:49 发布
最新推荐文章于 2024-07-28 22:17:49 发布
阅读量40 收藏
点赞数
分类专栏: KOS 文章标签: 安全
原文链接:https://blog.csdn.net/KeyarchOS/article/details/132480274?ops_request_misc=%257B%2522request%255Fid%2522%253A%2522172187697716800180662637%2522%252C%2522scm%2522%253A%252220140713.130102334.pc%255Fblog.%2522%257D&request_id=172187697716800180662637&biz_id
版权

目录

1 概述

2 安装环境

2.1 操作系统环境

2.2 工具版本

3 安装与配置

3.1 安装docker

3.2 安装docker-compose

3.3 安装harbor

4 Clair扫描

4.1 推送镜像

4.2 安全扫描

1 概述

clair的目标是能够从一个更加透明的维度去看待基于容器化的基础框架的安全性。Clair=clear + bright + transparent; clair通过对容器的layer进行扫描,发现漏洞并进行预警,其使用数据是基于Common Vulnerabilities and Exposures数据库(简称CVE), 各Linux发行版一般都有自己的CVE源,而Clair则是与其进行匹配以判断漏洞的存在与否,比如HeartBleed的CVE为:CVE-2014-0160。GitHub - quay/clair: Vulnerability Static Analysis for Containers

浪潮信息KOS是浪潮信息基于Linux Kernel、OpenAnolis等开源技术自主研发的一款服务器操作系统,支持x86、ARM等主流架构处理器,性能和稳定性居于行业领先地位,具备成熟的 CentOS 迁移和替换能力,可满足云计算、大数据、分布式存储、人工智能、边缘计算等应用场景需求。详细介绍见官网链接浪潮信息云峦服务器操作系统KeyarchOS_KOS服务器操作系统-浪潮信息

2 安装环境

2.1 操作系统环境

版本信息:KeyarchOS 5.8sp1

硬件平台:X86_64

2.2 工具版本

clair v2.1.0

harbor v2.1.0

docker

docker-compose v2.20.2

3 安装与配置

3.1 安装docker

  1. 安装docker,docker在默认KOS源中存在,可直接命令行安装。执行如下命令。

dnf install docker

启动docker守护进程。

systemctl start docker.service

systemctl enable docker.service

查看docker运行状态。

3.2 安装docker-compose

1、资源下载https://github.com/docker/compose/releases/download/v2.20.2/docker-compose-linux-x86_64

docker-compose下载后执行如下命令赋予其执行权限。

chmod +x docker-compose-linux-x86_64

mv docker-compose-linux-x86_64 /usr/bin/docker-compose

./docker-compose

使用如下命令查看docker-compose版本信息。

下载Clair的docker-compose文件

curl –L https://raw.githubusercontent.com/coreos/clair/master/docker-compose.yaml > docker-compose.yaml

如果该段时间下载较慢可更换国内docker源,具体命令如下。

sudo vim /etc/docker/daemon.json

输入

{

"registry-mirrors": ["https://cr.console.aliyun.com "]

}

重启docker服务systemctl restart docker.service

下载config_yaml文件

创建目录 mkdir clair_config   vi config.yaml

curl https://raw.githubusercontent.com/coreos/clair/v2.0.1/config.example.yaml -o config/config.yaml

在docker-compose.yml的路径下构建镜像并启动容器

docker-compose up -d

启动后确认docker-compose ps

3.3 安装harbor

harbor集成了clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。

  1. 资源下载

https://github.com/goharbor/harbor/releases/download/v2.1.0/harbor-online-installer-v2.1.0.tgz

解压

  1. 制作harbor.yml文件

进入目录 cp harbor.yml.tmpl harbor.yml

vim harbor.yml 更改hostname

3、安装并集成clair

./prepare

./install.sh --with-clair

4、结果确认

登陆验证hostname+port 账户admin 默认密码为Harbor12345(根据自己在yml文件的设置)

4 Clair扫描

4.1 推送镜像

4.2 安全扫描

八哥快走开
关注
专栏目录
harbor集成trivy镜像扫描工具
Cwillchris的博客
09-21 255
前置条件:安装好docker和docker-compose。
bitnami-docker-harbor-clair:用于Harbor Clair的Bitnami Docker映像
04-05
Harbor ClairHarbor的可选组件,Harbour是一个云本地注册表,用于存储,签名和扫描内容。 将Clair添加到Harbor部署将使用户能够在其Docker映像上运行漏洞扫描Clair是一个开源项目,用于静态分析应用程序容器中...
Harbor+Trivy实现镜像漏洞扫描
逗小豆zz的博客
10-05 1065
在漏洞列表中可以看到包含风险的组件和版本信息,以及该漏洞的修复版本。使用oras命令获取离线扫描数据库,该过程可能耗时很长。设置扫描镜像时跳过更新漏洞库,以离线方式进行扫描扫描完成后将以表格形式输出镜像包含的漏洞信息。扫描结束后可以查看漏洞数量和漏洞分布。是harbor存放数据的根目录,在。压缩文件,将这两个文件分别复制到。参数同时安装trivy组件。该命令仅下载离线库文件缓存在。安装Harbor时,指定。选择要扫描镜像,在。
Harbor镜像仓库的搭建(附镜像扫描器安装配置)
你说亮不亮的博客
12-26 1666
离线环境下私有镜像仓库Harbor的搭建
Harbor 漏洞镜像扫描部署
R0ot
10-14 1308
docker tag SOURCE_IMAGE[:TAG] 192.168.91.128/tomcat/REPOSITORY[:TAG] #镜像标记。docker push 192.168.91.128/tomcat/REPOSITORY[:TAG] #推送项目。先vim /etc/docker/daemon.json文件黏贴下面文件进去、wq保存。添加漏扫、认证地址为安装scanner的地址、之后点击测试连接、添加即可。打包镜像推送到harbor上,先登陆harbor上面创建项目。harbor下载安装。
【Docker】镜像安全扫描工具clairclairctl
阳阳的博客
08-12 1万+
clair是什么? clair是一个开源项目,用于静态分析appc和docker容器中的漏洞。 漏洞元数据从一组已知的源连续导入,并与容器映像的索引内容相关联,以生成威胁容器的漏洞列表。 clair版本选择 clair选择2.0.1版本 clair安装过程 docker方式 1.clair将漏洞元数据存储在Postgres中,先拉取postgres:9.6 docker pull ...
harbor系列之7:镜像漏洞扫描
lldhsds的专栏
07-28 829
Harbor 默认通过开源项目(Harbor 2.0.0 及之后版本)或(Habor v2.2.0 版本之后从默认中删除)提供镜像漏洞的静态分析。在harbor中可以对特定镜像Harbor 中的所有镜像手动启动扫描。也可以设置策略,使系统定期自动扫描所有镜像。说明:本文中harbor使用的截图以 Harbor v2.11.0 为例,具体操作以实际环境版本为准。
Docker镜像安全扫描工具
weixin_46931022的博客
06-30 1463
镜像是容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像安全决定了容器的安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]
harbor加密配置保证harbor安全
04-22
### Harbor 加密配置确保安全性 在企业级应用中,安全总是被放在首位考虑。Harbor作为一款开源的、可信赖的企业级容器注册中心,它的安全配置尤为重要。本文将基于Harbor 2.0.1版本,详细介绍如何通过配置SSL证书来...
Kubernetes与Harbor集成方案.pdf
10-11
"Kubernetes与Harbor集成方案" 以下是根据给定的文件信息生成的相关知识点: 容器注册服务器(Registry) * Registry是容器镜像的存储库,提供镜像的存储、管理和分发功能。 * Private Registry Server是企业...
bitnami-docker-harbor-adapter-clair:用于Harbor适配器Clair的Bitnami Docker映像
03-12
用于ClairHarbor扫描仪适配器是一项将Harbour扫描API转换为Clair API调用的服务,并允许Harbor使用Clair来提供有关存储在Harbor注册表中的图像的漏洞报告,作为其漏洞扫描功能的一部分。 Clair是一个开源项目,...
Harbor私有镜像仓库的搭建
最新发布
10-10
Harbor 是一个开源的容器镜像仓库...集成安全扫描工具(如 Clair),可以对上传的镜像进行漏洞扫描,提供安全报告,帮助用户识别潜在的安全风险。 6. 签名和验证 Harbor 支持镜像签名和验证,确保镜像的完整性和来源
Harbor集成clair-镜像各层安全扫描工具
惊云
03-02 1903
Harbor集成clair Clair是CoreOS提供的一款根据CVE的信息确认镜像各层安全状况的开源工具,harbor集成clair到其功能之中,这也是和其他同类工具相比一个突出的亮点,而在其集成的实现中,首先clair的功能依然是靠其官方镜像和postgres结合形成,而扫描之后的信息则通过harbor自身的数据库进行保存。 安装方式 在habor中集成clair的功能,方式非常简单,只需要在安装史指定with-clair选项即可 安装命令:sh install.sh –with-clair
安全防护工具之:Clair
热门推荐
知行合一 止于至善
08-09 2万+
Clair是由coreos所推出的一款针对容器的安全扫描的工具,类似于Docker在其收费版中提供的功能那样,能对应用容器的脆弱性进行静态扫描,同时支持APPC和DOCKER。这篇文章会介绍Clair的使用方式,Clair的原理,并使用clairctl的客户端演示如何利用clair进行镜像安全扫描并获取扫描的报告信息。
使用clair镜像扫描
Aggressive_snail的专栏
06-02 1475
文章目录目的安装clair使用clair扫描镜像Usage使用docker镜像的klar扫描镜像作为drone插件执行 目的 执行镜像扫描扫描镜像仓库的镜像,生成报告 安装clair 操作系统:ubuntu 18.06 docker:18.06.3 docker-compose: docker-compose version 1.25.5, build 8a1c60f6 打开github clair 使用docker-compos启动clair, clair-docker-compose配置下载 $ cu
【docker】harbor-trivy镜像扫描工具安装部署(离线漏洞库)
西原一点红的博客
08-22 2478
漏洞库下载trivy v1版本和V2版本漏洞库下载地址不一样。
推荐使用:Clair - 容器安全扫描利器
gitblog_00077的博客
05-26 466
推荐使用:Clair - 容器安全扫描利器 去发现同类优质开源项目:https://gitcode.com/ 项目介绍 Clair 是一个由 CoreOS 开发的开源项目,用于检测容器镜像中的已知安全漏洞。它通过分析容器的层结构,与数据库中的CVE(Common Vulnerabilities and Exposures)信息进行比对,帮助开发者识别并修复潜在的安全问题。现在,我们有 clair-...
云原生安全检测器 Narrows:为 Harbor 增加容器运行时安全扫描能力
亨利笔记
02-12 424
题图摄于广州花城广场本文作者之一Simon(赵仁明),VMware云原生实验室架构师。10+年云平台、数据平台、人工智能基础设施平台研发经验。目前主要关注云原生与人工智能领域的开源及创新项目。国内外的用户都在使用云原生技术来提高应用的开发效率和可管理性,不少用户运用开源 Harbor 制品仓库,管理敏捷软件供应链中云原生应用的镜像,包括镜像存储、镜像扫描镜像签名等功能。Harbor 已经提供了一...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值