docker run 参数_Cnitch:一款Docker引擎运行进程权限检测工具

最新推荐文章于 2024-04-06 14:43:37 发布
最新推荐文章于 2024-04-06 14:43:37 发布
阅读量112 收藏
点赞数
文章标签: docker run 参数

66dff2fec2122b4a2badf36ac6a2e090.png

Cnitch

Cnitch,又名Snitch或Container Snitch,它是一款针对Docker引擎的运行进程权限检测工具。Cnitch本质上来说是一个简单的框架和命令行工具,该工具可以帮助研究人员监控Docker容器内的运行进程,如果有进程是以root权限的话,研究人员将第一时间收到Cnitch的通知。

为什么我们需要去识别Docker引擎内以root权限运行的进程呢?如果你还不知道的话,可以先看看以下这篇文章。

http://canihaznonprivilegedcontainers.info/

当时本人在开发Cnitch的过程中,我以为我遇到了一个应用程序漏洞,当时Cnitch报告自身是一个Docker容器内的root进程。当时我不确定到底发生什么了,因为根据Dockerfile内的声明,我创建的用户并不是以root权限下运行的。经过大量的调试和验证,我决定再次检查Dockerfile的内容,其内容如下:

FROM alpineRUN adduser -h /home/cnitch -D cnitch cnitchCOPY ./cmd/cnitch /home/cnitch/RUN chmod +x /home/cnitch/cnitch#USER cnitchENTRYPOINT ["/home/cnitch/cnitch"]

当我在测试应用程序容器以了解到底发生了什么时,我必须要将USER命令注释掉。经过一系列研究之后,我便将发现的问题以及解决方案集成到了Cnitch之中。

工具运行机制

Cnitch能够通过API来跟Docker引擎连接,并查询当前正在运行的容器。接下来,该工具将会检测容器内正在运行的进程,并识别运行的进程是否是以root用户权限运行的。

当Cnitch检测到了一个root进程之后,便会将相关信息发送给Cnitch中的一个可配置报告模块,并允许研究人员对相关信息进行编辑或进行其他操作:

2020/07/29 16:04:27 Starting Cnitch: Monitoring Docker Processes at: tcp://172.16.255.128:23762020/07/29 16:04:27 Checking for root processes every: 10s2020/07/29 16:05:08 Checking image: ubuntu, id: 7bd489560a310343c39186500daa680290289c27f7a730524a31355a3aaf04302020/07/29 16:05:08 >> WARNING: found process running as root: tail -f /dev/null pid: 365

报告模块

目前,Cnitch可以将发现的信息报告给StatsD和StdOut,报告后端允许研究人员自行扩展,以便支持任何后台服务器。除此之外,Cnitch的可扩展特性还可以帮助研究人员构建一个后台系统以支持日志存储或日志聚合,而且整个过程非常简单。

StatsD

Cnitch会利用cnitch.exception.root_process方法将检测到的信息发送给StatsD,并且每条信息都会使用Cnitch示例的host名称以及container名称进行标记。

StdOut

StdOut是一个简单的输出日志记录组件,它可以接收并记录Cnitch反馈回来的监测信息。

工具下载

广大研究人员可以使用下列命令将项目源码克隆至本地:

git clone https://github.com/nicholasjackson/cnitch.git

工具运行

我们可以在一个Docker容器内运行Cnitch,也可以直接在本地运行,但在工具运行之前需要设置服务器的URL地址、Docker API和socket路径,所有的参数都需要通过环境变量“DOCKER_HOST”来设置。

参数选项

--hostname=[hostname]:用于整合信息的名称或IP地址--statsd-server=[hostname:port]:StatsD收集器的URI,如果忽略该参数,那么StatsD报告功能将被禁用--check=[duration e.g. 10s (10 seconds), 1m (1 minute)]:Cnitch扫描root进程的频率

命令行

设置Docker引擎API的“DOCKER_HOST”环境变量,然后使用下列参数在命令行工具中运行Cnitch:

$ cnitch --hostname=myhost --statsd-server=127.0.0.1:8125 --check=10s

Docker

Cnitch能够在一个非特权容器中运行,如果你想要使用Docker sock来访问API,你还需要将Cnitch用户添加至docker组。这一步可以通过“—group-add”参数来实现:

--group-add=$(stat -f "%g" /var/run/docker.sock

下面的代码可以使用Docker sock文件来实现API访问:

$ docker run -i -t --rm \  -v /var/run/docker.sock:/var/run/docker.sock \  --group-add=$(stat -f "%g" /var/run/docker.sock) \  -e "DOCKER_HOST:unix:///var/run/docker.sock" \  quay.io/nicholasjackson/cnitch [options]

工具使用样例

在下面的例子中,显示了Cnitch如何将数据导出至StatsD,其中的Docker Compose栈位于该项目的./example目录中

$ cd ./example$ docker-compose up

运行上述命令之后,在浏览器中访问“http://[docker host ip]:3000”,你将会看到如下图所示的Grafana登录界面:

8debfc44d22f045bcbbf94453a06cef2.png

使用下列凭证信息登录Grafana:

用户名:admin

密码:admin

接下来,选择Cnitch仪表盘,这个仪表盘会显示当前目标容器内正在运行的root进程:

c2f15618eddc891ba221f76eb08b55c3.png

项目地址

Cnitch:https://github.com/nicholasjackson/cnitch

d6a2881565425f5497c5daa4e349e273.gif

精彩推荐

f5a42c1f114f0cf08f2f4b51cf2d63f2.png 8a18cbbeffb1446356251d9fc2c59e15.png 9aabb65fa4788120933416d00a4dff74.png

ce6eb493c935d1dd1e389313b3a9dd3c.pngef2710b9796b0fef6fdd6f1ef35b1cfb.png7440fc778c2b769890581ae289c7214a.png

59a0e50d8f9353fdd4050f19544d3c7c.gif

weixin_39732316
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
docker build run 卡住_基于docker+gunicorn部署sanic项目踩过的坑
weixin_42104778的博客
11-30 325
前言:最近有个项目需要上线,是python中sanic网络异步框架写的,并且要求使用docker+nginx来部署项目实现负载均衡,于是乎百度了sanic项目部署,基本上都是基于docker+gunicorn部署sanic项目这篇文章,里面讲的也稍稍微有些简略,不过对于小白特别不友好,按步骤操作肯定是不行的,因为文章中只举了很小很小的一个例子,感觉更像demo。而小白可能只是临时接受部署任务,按部...
android 权限检查工具类,PermissionUtil动态权限工具类
weixin_34997006的博客
05-28 595
描述:适配6.0以下和6.0以上动态权限,并可以解决6.0以上个别手机点拒绝权限后会返回权限允许的回调的问题,例如:OnePlus3T(一加) A3010 7.1.1系统以拨打电话为例:(注:直接拨打电话需要动态权限判断,唤起拨打电话界面不需要)一.在build.gradle中添加依赖://RxPermissionscompile 'com.tbruyelle.rxpermissions2:rxp...
权限检测工具
weixin_41605683的博客
05-09 310
随着Google对安卓系统权限的收紧和重视,在6.0版本之后,增加了动态权限检测,所以代码中涉及到动态权限检测是必须的,为了方便权限相关代码的编写,下面提供一个自己封装的权限检测工具类。 文章目录使用具体的工具类如下工具类 module地址 使用 在需要检测权限的地方直接像下面一样调用 //这里MainActivity.this位置必须传Activity或者FragmentActivity;接着需要检测的权限;最后是回调接口的匿名类 EasyPermissions.checkPermissions(Main
docker笔记-docker-run
weixin_34186950的博客
03-21 132
docker run参数:--name 标记可以为容器自定义命名-v 挂载数据卷--volumes-from 挂载容器的数据卷--link 参数可以让容器之间安全的进行交互 1 数据卷 -v 容器目录 或 -v 本地目录:容器目录数据卷是一个可供一个或多个容器使用的特殊目录,它绕过 UFS,可以提供很多有用的特性: 数据卷可以在容器之间共享和重用 对数据卷的修改会立马生效 对数据卷的更新,不会影...
记录一次检查权限的小工具
zy10151的博客
07-05 62
check-exec.sh restore-exec.sh check-softlink.sh restore-softlink.sh
docker_xilinx_vivado:用于运行Xilinx Vivado开发环境的Docker Ubuntu + Oracle JDK
05-06
docker_xilinx_vivado Docker Ubuntu + Oracle JDK,用于运行Xilinx Vivado开发环境。Docker文件该存储库中包含的Dockerfile用于生成包含Xilinx Vivado开发环境的依赖项的映像。 docker build -t joco/ubuntu-for-...
docker_compose_openlava:使用docker-compose在docker运行openlava
05-15
Docker容器中运行OpenLava。 此是展示如何使用 -compose在容器中运行的开始。 运行docker-compose: $ docker-compose up -d Recreating devopsopenlava_master_1... Recreating devopsopenlava_node2_1... ...
docker_auth_web:docker_auth 的 WebUI
06-01
docker run -it -p 5002:3000 --rm -v /path/to/docker_auth/config/:/config -e CONF_FILE=/config/simple.yml darkdirk/docker-auth-web 您现在可以通过访问 UI 请通过简单的身份验证(nginx、apache)构建您...
docker_django_psql:带有django和postgres容器的docker-compose项目示例
03-31
docker-compose run web python3 manage.py migrate 为管理员创建用户 docker-compose run web python manage.py createsuperuser 麻省理工学院执照 版权所有(c)2020 Marcos Fernandes 特此免费授予获得此软件和...
docker_lm_collector:能够安装和运行LogicMonitor收集器的Docker映像的源代码-docker source code
03-25
能够安装和运行LogicMonitor收集器的Docker映像 网站 Docker储存库 要求 您必须具有LogicMonitor帐户 指定的令牌访问ID和访问密钥必须具有足够的权限才能执行请求的操作 参数运行时将所有列出的参数指定为容器...
docker 日志位置
热门推荐
vito
03-27 7万+
日志分两类,一类是 Docker 引擎日志;另一类是 容器日志。 Docker 引擎日志  Docker 引擎日志 一般是交给了 Upstart(Ubuntu 14.04) 或者 systemd (CentOS 7, Ubuntu 16.04)。前者一般位于 /var/log/upstart/docker.log&...
docker查看日志及查看日志文件
wssy_day的博客
09-06 8203
docker查看日志及查看日志文件,docker基础使用,对容器服务日志操作
docker日志
coisini-ye
06-22 9846
高效的监控和日志管理对保持生产系统持续稳定的运行以及排查问题至关重要。 在微服务架构中,由于容器的数量众多以及快速变化的特性使得记录日志和监控变得越来越重要。考虑到容器短暂和不固定的生命命周期,当我们需要debug问题时有些容器可能不存在了。因此,一套集中式的日志管理系统是生产环境中不可缺的组成部分 一、dockerlogs 默认配置下的docker日志功能。对于一个运行的容器,docker会将日志发送到容器的标准输出设备STDOUT和标准错误设备(STDERR),stdout...
Docker运行一个容器并查看其日志
最新发布
积跬步以致千里,积怠惰以致深渊
04-06 915
是可选的,它给容器指定了一个名字,这样你就可以通过名字而不仅仅是 ID 来引用容器。要在 Docker运行一个容器并查看其日志,你可以按照以下步骤操作。通过上述步骤,你可以运行 Docker 容器并查看其日志输出。命令来查看容器的输出(即日志)。你可以通过容器的 ID 或者名字来引用容器。如果你没有给容器命名,需要使用容器的 ID 来查看日志。这将返回一个容器 ID,你可以使用这个 ID 来引用容器。如果你想实时地查看容器的输出,可以添加。一旦容器正在运行,你可以使用。参数给容器命名(如上例中的。
docker常用命令& 3种docker日志查看
aoxixi的博客
12-01 4万+
一、概念 理念:容器化,把应用打包 定义:docker是一个开源的应用容器引擎,可以把任何应用以及他们的依赖包打包到一个 轻量级、可移植的容器中,然后发布到流行的Linux机器上,实现虚拟化。 VM和docker区别: ​ VM结构:server-》host OS -》hypervisor -> Guest OS -> Bins/libs ->app ​ do...
docker 日志查询
weixin_39195030的博客
10-02 3958
docker 日志查询 docker exec -it 29bab410a9fa /bin/bash 注意:29bab410a9fa 为容器ID; 容器日志查询: 1、docker ps 获取容器id 2、docker logs -f 容器ID/name
docker 查看容器启动日志
旺仔的专栏
11-19 2万+
$ docker logs [OPTIONS] CONTAINER Options: --details 显示更多的信息 -f, --follow 跟踪实时日志 --since string 显示自某个timestamp之后的日志,或相对时间,如40m(即40分钟) --tail string 从日志末尾显示多少行日志, 默认是all -t, --timestamps 显示时间戳 --until ...
docker启动容器出现问题 进行日志查看
weixin_44228952的博客
04-07 3417
⭐⭐⭐⭐⭐启动出问题了,不要先急这百度。这时候你可能连问题都没搞清,so我们先去查看容器日志定位问题!!!!!! docker查看日志记录 命令格式: $ docker logs [OPTIONS] CONTAINER Options: --details 显示更多的信息 -f, --follow 跟踪实时日志 --since string 显示自某个timestamp之后的日志,或相对时间,如42m(即42分钟)
查看docker容器日志
那片天空!那片海!
07-30 1万+
在没有日志监控系统的情况下,我们需要了解docker容器日志输出有没有错误信息,这个时候主要通过以下几种办法查看日志: 1、通过目录挂载的方式 容器目录挂载到宿主机目录 docker run -it -d --name tomcat5_gz -v /home/jyapp/:/home/jyapp/ tomcat_image /bin/bash 其中:tomcat5_gz容器名 tomc...
Docker守护进程启动解析:深入DockerDaemon源码
在源码中,Daemon表现为一个结构体,包含了Docker运行所需的各种组件和信息,如容器管理、镜像仓库、系统信息、卷管理、执行引擎等。启动Docker Daemon时,这个结构体会被初始化,并加载相应的配置和数据结构。 2. ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值