扫描docker安装的工具_Terrier:一款功能强大的镜像&容器安全分析工具

最新推荐文章于 2024-06-30 08:15:00 发布
最新推荐文章于 2024-06-30 08:15:00 发布
阅读量210 收藏
点赞数
文章标签: 扫描docker安装的工具
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29375669/article/details/112543631
版权

a1fad09e60a8c233ee93049b674f171f.png

Terrier是一款针对OCI镜像和容器的安全分析工具,Terrier可以帮助研究人员扫描OCI镜像和容器文件,并根据哈希来识别和验证特定文件是否存在。

工具安装

源代码:

如需了解源代码安装步骤,请参考项目的Releases页面。

通过Go安装:

$ go get github.com/heroku/terrier

源构建

通过Go:

$ go build

$ make all

工具使用

$ ./terrier -hUsage of ./terrier:-cfg stringLoad config from provided yaml file (default "cfg.yml")

工具使用必须扫描镜像的OCI TAR,这个值需要通过cfg.yml文件提供给Terrier。

下列Docker命令可以用来将一个Docker镜像转换成一个TAR文件,并提供给Terrier扫描:

# docker save imageid -o image.tar$ ./terrier[+] Loading config: cfg.yml[+] Analysing Image[+] Docker Image Source:  image.tar[*] Inspecting Layer:  05c3c2c60920f68***6d3c66e0f6148b81a8b0831388c2d61be5ef02190bcd1f[!] All components were identified and verified: (493/493)

样本YML配置

Terrier会对YAML文件进行解析,下列给出的是样本配置文件:

#THIS IS AN EXAMPLE CONFIG, MODIFY TO YOUR NEEDSmode: imageimage: image.tar# mode: container# path: merged# verbose: true# veryverbose: true
files:- name: '/usr/bin/curl'hashes:- hash: '2353cbb7b47d0782ba8cdd9c7438b053c982eaaea6fbef8620c31a58d1e276e8'- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2aaa'- hash: '9a43cb726fef31f272333b236ff1fde4beab363af54d0bc99c304450065d9c96'- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521faa'- name: '/usr/bin/go' hashes:- hash: '2353cbb7b47d0782ba8cdd9c7438b053c982eaaea6fbef8620c31a58d1e276e8'#UNCOMMENT TO ANALYZE HASHES# hashes:#- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521faa'#- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2aa'#- hash: '60a2c86db4523e5d3eb41a247b4e7042a21d5c9d483d59053159d9ed50c8aa41aa'

Terrier会做什么?

Terrier提供了一个命令行工具,可以允许我们:

1、扫描一个OCI镜像中一个或多个目标文件是否存在,需提供目标文件的SHA256哈希;

2、扫描一个正在运行的容器中一个或多个目标文件是否存在,需提供目标文件的SHA256哈希;

Terrier使用场景

场景1

Terrier可以用来验证特定OCI镜像是否包含特定代码,这个功能可以使用在供应链验证场景中。比如说,我们可能需要检查特定Docker镜像是否由特定版本的代码构成的,此时就可以使用Terrier了。此时,我们需要提供特定代码的SHA256哈希。

此场景下的样本YAML文件如下所示:

mode: image# verbose: true# veryverbose: trueimage: golang1131.tarfiles:- name: '/usr/local/bin/analysis.sh'hashes:- hash: '9adc0bf7362bb66b98005aebec36691a62c80d54755e361788c776367d11b105'- name: '/usr/bin/curl'hashes:- hash: '23afbfab4f35ac90d9841a6e05f0d1487b6e0c3a914ea8dab3676c6dde612495'- name: '/usr/local/bin/staticcheck'hashes:- hash: '73f89162bacda8dd2354021dc56dc2f3dba136e873e372312843cd895dde24a2'

场景2

Terrier可以用来验证一个OCI镜像中是否存在特定文件,需提供目标文件的SHA256哈希。这个给功能可以帮助我们检查OCI镜像中是否存在恶意文件。

此场景下的样本YAML文件如下所示:

mode: image# verbose: true# veryverbose: trueimage: alpinetest.tarhashes:- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521f'- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2'- hash: '60a2c86db4523e5d3eb41a247b4e7042a21d5c9d483d59053159d9ed50c8aa41'- hash: '9a43cb726fef31f272333b236ff1fde4beab363af54d0bc99c304450065d9c96'

场景3

Terrier可以用来在运行时对容器组件进行验证,并分析其中内容。

此场景下的样本YAML文件如下所示:

mode: containerverbose: true# veryverbose: true# image: latestgo13.tarpath: mergedfiles:- name: '/usr/local/bin/analysis.sh'hashes:- hash: '9adc0bf7362bb66b98005aebec36691a62c80d54755e361788c776367d11b105'- name: '/usr/local/go/bin/go'hashes:- hash: '23afbfab4f35ac90d9841a6e05f0d1487b6e0c3a914ea8dab3676c6dde612495'- name: '/usr/local/bin/staticcheck'hashes:- hash: '73f89162bacda8dd2354021dc56dc2f3dba136e873e372312843cd895dde24a2'- name: '/usr/local/bin/gosec'hashes:- hash: 'e7cb8304e032ccde8e342a7f85ba0ba5cb0b8383a09a77ca282793ad7e9f8c1f'- name: '/usr/local/bin/errcheck'hashes:- hash: '41f725d7a872cad4ce1f403938937822572e0a38a51e8a1b29707f5884a2f0d7'- name: '/var/lib/dpkg/info/apt.postrm' hashes:- hash: '6a8f9af3abcfb8c6e35887d11d41a83782***f5766d42bd1e32a38781cba0b1c'

工具使用

样例1

Terrier提供了一个命令行接口,并使用了YAML。样本YAML配置如下:

mode: image# verbose: true# veryverbose: trueimage: alpinetest.tarfiles:- name: '/usr/local/go/bin/go'hashes:- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521f'- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2aaa'- hash: '60a2c86db4523e5d3eb41a247b4e7042a21d5c9d483d59053159d9ed50c8aa41aaa'- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521faa'- name: '/usr/bin/delpart'hashes:- hash: '9a43cb726fef31f272333b236ff1fde4beab363af54d0bc99c304450065d9c96aaa'- name: '/usr/bin/stdbuf'hashes:- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521faa'- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2aa'- hash: '60a2c86db4523e5d3eb41a247b4e7042a21d5c9d483d59053159d9ed50c8aa41aa'

在下面的样例中,我们通过上述YAML来让Terrier验证多个文件是否存在:

$./terrier [+] Loading config: cfg.yml[+] Analysing Image[+] Docker Image Source:  alpinetest.tar[*] Inspecting Layer:  05c3c2c60920f68***6d3c66e0f6148b81a8b0831388c2d61be5ef02190bcd1f[*] Inspecting Layer:  09c25a178d8a6f8b984f3e72ca5ec966215b24a700ed135dc062ad925aa5eb23[*] Inspecting Layer:  36351e8e1da92268d40245cfbcd499a1173eeacc23be428386c8fc0a16f0b10a[*] Inspecting Layer:  7224ca1e886eeb7e63a9e978b1a811ed52f4a53ccb65f7c510fa04a0d1103fdf[*] Inspecting Layer:  7a2e464d80c7a1d89dab4321145491fb94865099c59975cfc840c2b8e7065014[*] Inspecting Layer:  88a583fe02f250344f89242f88309c666671042b032411630de870a111bea971[*] Inspecting Layer:  8db14b6fdd2cf8b4c122824531a4d85e07f1fecd6f7f43eab7f2d0a90d8c4bf2[*] Inspecting Layer:  9196e3376d1ed69a647e728a444662c10ed21feed4ef7aaca0d10f452240a09a[*] Inspecting Layer:  92db9b9e59a64cdf486203189d02acff79c3360788b62214a49d2263874ee811[*] Inspecting Layer:  bc4bb4a45da628724c9f93400a9149b2dd8a5d437272cb4e572cfaec64512d98[*] Inspecting Layer:  be7d600e4e8ed3000e342ef6482211350069d935a14aeff4d9fc3289e1426ed3[*] Inspecting Layer:  c4cec85dfa44f0a8856064922cff1c39b872***6dd002e33664d11a80f75a149[*] Inspecting Layer:  c998d6f023b7b9e3c186af19bcd1c2574f0d01b943077281ac5bd32e02dc57a5[!] All components were identified and verified: (493/493)

样例2

验证镜像中是否存在任意文件,需提供目标文件的SHA256哈希:

mode: image# verbose: true# veryverbose: trueimage: 1070caa1a8d89440829fd35d9356143a9d6185fe7f7a015b992ec1d8aa81c78a.tarhashes:- hash: '8b7c559b8cccca0d30d01bc4b5dc944766208a53d18a03aa8afe97252207521f'- hash: '22e88c7d6da9b73fbb515ed6a8f6d133c680527a799e3069ca7ce346d90649b2'- hash: '60a2c86db4523e5d3eb41a247b4e7042a21d5c9d483d59053159d9ed50c8aa41'- hash: '9a43cb726fef31f272333b236ff1fde4beab363af54d0bc99c304450065d9c96'

运行Terrier:

./terrier [+] Loading config: cfg.yml[+] Docker Image Source:  golang.tar[*] Inspecting Layer:  1070caa1a8d89440829fd35d9356143a9d6185fe7f7a015b992ec1d8aa81c78a[*] Inspecting Layer:  414833cdb33683ab8607565da5f40d3dc3f721e9a59e14e373fce206580ed40d[*] Inspecting Layer:  6bd93c6873c822f793f770fdf3973d8a02254a5a0d60d67827480797f76858aa[*] Inspecting Layer:  c40c240ae37a2d2982ebcc3a58e67bf07aeaebe0796b5c5687045083ac6295ed[*] Inspecting Layer:  d2850df0b6795c00bdce32eb9c1ad9afc0640c2b9a3e53ec5437fc5539b1d71a[*] Inspecting Layer:  f0c2fe7dbe3336c8ba06258935c8dae37dbecd404d2d9cd74c3587391a11b1af[!] Found file 'f0c2fe7dbe3336c8ba06258935c8dae37dbecd404d2d9cd74c3587391a11b1af/usr/bin/curl' with hash: 9a43cb726fef31f272333b236ff1fde4beab363af54d0bc99c304450065d9c96[*] Inspecting Layer:  f2d913644763b53196cfd2597f21b9739535ef9d5bf9250b9fa21ed223fc29e3echo $?1

项目地址

Terrier:https://github.com/heroku/terrier

*参考来源:heroku,FB小编Alpha_h4ck编译,转载请注明来自FreeBuf.COM

db5bfaef50aa5b1d6ea67a5a6122f145.gif

精彩推荐

08b2868c2d5898deffb830a1d34d80dc.png

458b69208f248c0625938698cbf3a9eb.png25945d68eec14c66f1cb04c7f8444409.png399aaed25ab77b6e103bb25541eba3d1.png

c782a3d9828598fdef122f32778db06d.gif

杨中依
关注
Docker (二):镜像容器导入导出与私有仓库搭建
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-17 5万+
🟢 Docker (二):镜像容器导入导出与私有仓库搭建
Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
09-14 4万+
🟢 Docker(九):Docker轻量级可视化工具Portainer与容器监控3剑客CAdvisor+InfluxDB+Granfana
harbor-scanner:一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 Harbor 无缝集成
05-16
Harbor-Scanner 一个免费的镜像漏洞扫描工具, 可以扫描镜像中已安装软件包的漏洞,支持中文漏洞库,可与 无缝集成。 Dosec 的商业客户可以使用企业版扫描功能,例如扫描开源框架中的漏洞以及扫描容器镜像中包含的敏感数据。同时企业版增加了WEB UI, 提供仪表板,资产管理,用户管理,镜像漏洞修复建议, 安全和策略评估报告,容器运行时防护,Docker 和 Kubernetes 合规检查以及其他功能和模块。 特点 漏洞扫描快速准确,支持CVE和CNNVD双漏洞编号,漏洞中文描述信息 自动更新漏洞库(在配置中开启自动更新参数) 快速部署使用,最新的发布版中已包含最近日期之前的全量漏洞库,安装完成即可立即扫描出结果 安装 推荐将 Harbor-Scanner 和 Harbor 镜像仓库部署在同一台服务器。 下载 Harbor-Scanner 的离线安装包并解压 wget https
镜像扫描
BJUT_bluecat的博客
06-04 423
https://blog.csdn.net/liumiaocn/article/details/81813707集成clair https://www.jianshu.com/p/447e22ce947c使用clair扫描Docker镜像漏洞 https://www.freebuf.com/column/157784.htmlDocker镜像扫描器的实现 https://blog.csdn....
Docker镜像安全扫描工具
最新发布
weixin_46931022的博客
06-30 1279
镜像容器的最基础的载体,docker是流行的runtime,其最大的贡献就是把镜像作为容器应用的标准交付方式,镜像包含了容器运行的所有基础文件,可以说镜像安全决定了容器安全。--skip-java-db-update 同样java 的漏洞库,每周四凌晨自动更新,也是存在github上,以使用–skip-java-db-update 跳过这一过程。--severity CRITICAL , 指定扫描的严重程度,分为,CRITICAL[紧急],HIGH[高的],MEDIUM[中等],LOW[低的]
镜像安全扫描工具
11-07 380
镜像安全扫描是确保云原生环境安全非常重要和基础的一个环节,通过镜像安全扫描可以检测容器镜像中的漏洞,避免攻击者植入恶意代码,快速响应漏洞,从而降低安全风险。本文分享两个比较常用的镜像安全扫描工具,它们可以帮助我们识别容器镜像中的漏洞和弱点。1、TrivyTrivy是一个全面的多功能安全扫描器,支持在容器镜像、Kubernetes、代码存储库、AWS中查找漏洞、错误配置、敏感信息和密钥、SBOM等。...
镜像漏洞扫描工具
qq_36270681的博客
01-22 4668
Trivy:是一种用于容器镜像、文件系统、Git仓库的漏洞扫描工具。发现目标软件存在的漏洞。 Trivy易于使用,只需安装二进制文件即可进行扫描,方便集成CI系统。 项目地址:https://github.com/aquasecurity/trivy 镜像扫描 trivy image -s HIGH, CRITICAL nginx # JSON格式输出并保存到文件 trivy image nginx -f json -o /root/output.json kubesec:是一个针对K
镜像漏洞扫描工具:Trivy
识途老码
06-27 723
打印指定(高危、严重)漏洞信息 JSON格式输出并保存到文件
terrier:Terrier是一种图像和容器分析工具,可用于扫描图像和容器以根据其哈希值识别并验证特定文件的存在
03-22
Terrier是一种图像和容器分析工具,可用于扫描OCI图像和容器以根据其哈希值识别并验证特定文件的存在。可在Heroku博客上找到有关Terrier的详细文章。 安装 二进制文件 有关二进制文件的安装说明,请访问。 通过围棋 ...
Docker(四):容器数据卷与Dockerfile构建镜像(发布)
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
08-30 4万+
🟢 Docker(四):容器数据卷与Dockerfile构建镜像(发布)
Docker(十二):容器镜像的导入和导出
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!这里是我记录技术心得、分享经验的地方。✨
03-14 3万+
🟢 Docker(十二):容器镜像的导入和导出
riskscanner:RiskScanner是开源的公有云安全合规扫描平台,通过Cloud Custodian的YAML DSL定义扫描规则,实现对主流公有云资源的安全合规扫描及使用优化建议
03-19
RiskScanner开源公有云安全合规扫描平台 RiskScanner是开源的公有云安全合规扫描平台,通过Cloud Custodian的YAML DSL定义扫描规则,实现对主流公有云资源的安全合规扫描及使用优化建议。 功能优势: 等保2.0预检:符合等保2.0规范,覆盖安全审计,访问控制,入侵防御,网络架构和管理中心等进行检查; CIS合规检查:符合CIS规范,检查和实时监控在云上的资源是否符合CIS要求; 最佳实践建议:制定合规管控替代,为企业级用户提供最佳实践建议,持续提升合规水平。 RiskScanner遵循GPL v2开源协议,使用SpringBoot / Vue进行开发,界面美观,用户体验好,支持的公有云包括阿里云,腾讯云,华为云等。 技术优势: 规则简单灵活:扫描规则采用简单的YAML格式,简单易懂,并允许用户自定义规则; 支持多公有云:支持的公有云包括阿里云,腾讯云
origin-federation-services-3.6.1-1.0.008f2d5.x86_64.rpm
01-22
官方离线安装包,测试可用。请使用rpm -ivh [rpm完整包名] 进行安装
使用 Trivy 扫描 Docker 镜像漏洞
一览无遗
01-29 1247
本博客介绍了使用 Trivy 扫描程序保护 Docker 镜像免受潜在漏洞影响的基本步骤。是一个开源工具,可用于扫描 Docker 镜像以查找漏洞。Docker 镜像是打包和部署应用程序的简单方法。但是,如果它们包含漏洞,它们也可能存在安全风险。它可能是库中的问题、应用程序依赖项中的漏洞、容器配置错误等。Trivy 是一种有效的 Docker 漏洞扫描程序,支持多个漏洞数据库,包括常见漏洞和暴露 (。Trivy 还可以扫描错误的配置和机密。
容器镜像安全漏洞扫描工具Trivy
俞兆鹏的博客
06-09 7351
最近做镜像分析扫描工作,需要扫描镜像安全漏洞,评估镜像安全性,调研了几款漏洞扫描工具,最后决定使用Trivy工具,Trivy是一家以色列安全公司开源的一个漏洞扫描工具,支持容器镜像、虚机镜像、文件系统的安全扫描
【云原生-K8s】镜像漏洞安全扫描工具Trivy部署及使用(1)
2401_84971057的博客
05-13 962
Trivy是一个开源的容器镜像漏洞扫描器,可以扫描常见的操作系统和应用程序依赖项的漏洞。它可以与Docker和Kubernetes集成,帮助用户在构建和部署容器镜像时发现安全漏洞。Trivy支持多种漏洞数据库,包括Red Hat、Debian、Alpine等,可以根据用户的需求进行配置。Trivy还支持CI/CD集成,可以在构建过程中自动扫描镜像并生成报告。
docker portainer_一文看懂Docker可视化管理工具Portainer安装部署教程
weixin_39840616的博客
11-27 271
概述前面已经介绍了docker的两个可视化管理工具DockerUI、Shipyard,今天主要介绍一下Portainer,也是比较推荐的一个工具。一、Portainer安装部署1、安装Portainer安装页:https://www.portainer.io/install.html#mkdir -p portainer_data#docker run -it -d -p 9000:9000 ...
云原生安全镜像漏洞扫描工具Trivy使用指南
SHELLCODE_8BIT的博客
09-21 1059
Trivy是一个简单而全面的扫描器,用于检测容器镜像、文件系统和Git存储库中的漏洞以及配置问题。Trivy检测操作系统包(Alpine、RHEL、CentOS 等)和特定编程语言包(Bundler、Composer、npm、yarn 等)的漏洞。此外,Trivy扫描基础设施即代码 (IaC) 文件,例如 Terraform、Dockerfile 和Kubernetes,从中发现部署中面临攻击风险和潜在配置问题的等。Trivy易于使用。
Docker镜像下载源码分析:从DockerClient到DockerDaemon
Docker源码分析(十):Docker镜像下载” 在Docker的世界里,Docker镜像是构建和运行容器的核心组件,它包含了运行一个...通过源码分析,我们可以更好地了解Docker的内部机制,从而更好地利用这一强大的容器技术。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值