OpenShift Security (19) - 用红帽官方镜像加固云原生应用安全(视频)

已于 2024-06-27 21:21:33 修改
阅读量1.5k 收藏
点赞数
分类专栏: 安全 OpenShift 4 DevOps 文章标签: openshift 云原生 安全
于 2022-08-31 19:01:19 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/126610545
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
文本已在 OpenShift 4.15 + RHACS 4.4.3 环境中进行验证。

文章目录


在进行以下操作前请安装 RHACS 环境。

基于镜像部署应用

  1. 执行命令下载文件。
$ git clone https://github.com/liuxiaoyu-git/sample-blog-for-rhacs-tutorial.git
$ SAMPLE_PATH=$PWD/sample-blog-for-rhacs-tutorial
  1. 确认 nginx/Dockerfile 是基于 docker.io/nginx:1.20 镜像构建的。
$ cd $SAMPLE_PATH/default/docker/nginx/
$ more Dockerfile | grep FROM
FROM docker.io/nginx:1.20
  1. 然后根据 Dockerfile 创建 nginx 镜像。
$ oc new-project sample-blog
$ oc new-build --name=nginx --strategy=docker --binary
$ oc start-build nginx --from-dir=. --follow
  1. 确认 django/Dockerfile 是基于 docker.io/python:3.9 镜像构建的。
$ cd $SAMPLE_PATH/default/docker/django/
$ more Dockerfile | grep FROM
FROM docker.io/python:3.9.16
  1. 然后根据 Dockerfile 创建 django 镜像。
$ oc new-build --name=django --strategy=docker --binary
$ oc start-build django --from-dir=. --follow
  1. 查看生成的 ImageStream 和 Image,其中 Image 是保存在 OpenShift 内部 ImageRegistry 中的镜像,此时还没有部署运行在 OpenShift 中。
$ oc get is
NAME     IMAGE REPOSITORY                                                      TAGS     UPDATED
django   image-registry.openshift-image-registry.svc:5000/sample-blog/django   latest   2 minutes ago
nginx    image-registry.openshift-image-registry.svc:5000/sample-blog/nginx    latest   20 minutes ago
$ oc get image | grep sample-blog
sha256:11253e2ba01c6fc2a6857e19119df0aed272b3825d5ef6e7e4679ed166cf508b   image-registry.openshift-image-registry.svc:5000/sample-blog/nginx@sha256:11253e2ba01c6fc2a6857e19119df0aed272b3825d5ef6e7e4679ed166cf508b
sha256:29a4d64a8e64b1c136ee834743ff0ada9a0ff80c12eca1d1ed6a5d8cdc2c9271   image-registry.openshift-image-registry.svc:5000/sample-blog/django@sha256:29a4d64a8e64b1c136ee834743ff0ada9a0ff80c12eca1d1ed6a5d8cdc2c9271
  1. 确认此时 RHACS 中的 IMAGES 中查不到和 sample-blog 相关的 Image,这说明在 OpenShift 内部 ImageRegistry 中的镜像是不会被 RHACS 扫描的,直到它被部署运行起来。
    在这里插入图片描述
  2. 运行以下命令,分别使用 docker.io/mysql:8.0.26、docker.io/redis:6.0.8、image-registry.openshift-image-registry.svc:5000/sample-blog/django:latest 和 image-registry.openshift-image-registry.svc:5000/sample-blog/nginx:latest 镜像部署应用资源。
$ cd $SAMPLE_PATH/default/k8s/base/
$ more mysql-statefulset.yaml
$ more redis-statefulset.yaml
$ more nginx-deployment.yaml
$ more django-deployment.yaml
  1. 执行命令创建 Deployment、Service、Route 等资源。
$ ./entrypoint.sh
$ oc apply -k .
  1. 在完成后可在 OpenShift 的开发者视图的 “拓扑” 中确认部署到的应用资源。
    在这里插入图片描述

使用 RHACS 分析安全风险

注意:扫描到的 CVE 有可能随时间变化。

  1. 在 RHACS 的 Dashborad 中可以看到以下两部分:风险最高的 Image 和 Deployment。
    在这里插入图片描述
  2. 点击进入 Images at the most risk 的 View all 按钮,可以看到在下面 IMAGES 页面中前 4 个是上面用到的 Image。镜像包含了数量不等的 CVE 和 Fixable CVE。
    在这里插入图片描述
  3. 进入 RHACS 的 Violations 菜单,按照 Severity 排序,可以看到前 6 个 High 级别的违规都和刚刚部署的应用资源相关。
    在这里插入图片描述
  4. 依次查看上图中 2 个违规涉及到的 Policy,主要有以下 2 类:1)镜像包含 CVE 漏洞,2)部署包含 PASSWORD 敏感信息。
    在这里插入图片描述
    在这里插入图片描述
  5. 在 Violation 说明的 Deployment 栏中可查看涉及到的相关镜像。例如以下 docker.io/mysql:8.0.26 镜像包含的 Critical 级别 CVE。
    在这里插入图片描述
  6. 另外,在违规中还有违反 No resource requests or limits specified、Pod Service Account Token Automatically Mounted 等 Policy 的项目。
    在这里插入图片描述
    在这里插入图片描述

修复安全风险

  1. 确认新的 Dockfile 中使用了来自 redhat 的容器镜像。
$ cat $SAMPLE_PATH/improved/docker/nginx/Dockerfile | grep FROM
FROM registry.access.redhat.com/ubi8/nginx-120 
$ cat $SAMPLE_PATH/improved/docker/django/Dockerfile | grep FROM
FROM registry.access.redhat.com/ubi8/python-39
  1. 重新根据新的 Dockerfile 重新构建新版镜像。
$ cd $SAMPLE_PATH/improved/docker/nginx
$ oc new-build --name=nginx-2 --strategy=docker --binary --to=nginx:v0.1
$ oc start-build nginx-2 --from-dir=. --follow 
 
$ cd $SAMPLE_PATH/improved/docker/django/
$ oc new-build --name=django-2 --strategy=docker --binary --to=django:v0.1
$ oc start-build django-2 --from-dir=. --follow
  1. 查看构建的 Image 和生成的 ImageStream,已经有新的镜像了。
$ oc get is
NAME     IMAGE REPOSITORY                                                      TAGS          UPDATED
django   image-registry.openshift-image-registry.svc:5000/sample-blog/django   v0.1,latest   51 seconds ago
nginx    image-registry.openshift-image-registry.svc:5000/sample-blog/nginx    v0.1,latest   About a minute ago
$ oc get image | grep sample-blog
sha256:11253e2ba01c6fc2a6857e19119df0aed272b3825d5ef6e7e4679ed166cf508b   image-registry.openshift-image-registry.svc:5000/sample-blog/nginx@sha256:11253e2ba01c6fc2a6857e19119df0aed272b3825d5ef6e7e4679ed166cf508b
sha256:9ad852a977eb8ec4ccb3b2ae1501ad9c45320194476e49c9a4f401ee7f9397c5   image-registry.openshift-image-registry.svc:5000/sample-blog/nginx@sha256:9ad852a977eb8ec4ccb3b2ae1501ad9c45320194476e49c9a4f401ee7f9397c5
sha256:29a4d64a8e64b1c136ee834743ff0ada9a0ff80c12eca1d1ed6a5d8cdc2c9271   image-registry.openshift-image-registry.svc:5000/sample-blog/django@sha256:29a4d64a8e64b1c136ee834743ff0ada9a0ff80c12eca1d1ed6a5d8cdc2c9271
sha256:332f648bc477789f86ac611d5d54d09daa394902f8b54659717b695b223452be   image-registry.openshift-image-registry.svc:5000/sample-blog/django@sha256:332f648bc477789f86ac611d5d54d09daa394902f8b54659717b695b223452be
  1. 查看以下 4 个文件,确认 mysql 和 redis 部署将上面用到的 docker.io 镜像都换成了 Red Hat 的官方镜像,而 nginx 和 django 使用了 v0.1 版本的本地镜像。
$ cd $SAMPLE_PATH/improved/k8s/base/
$ more mysql-statefulset.yaml
$ more redis-statefulset.yaml
$ more django-deployment.yaml
$ more nginx-deployment.yaml
  1. 另外确认在以上部署中新建了对应的 secret 或 configmap 替换了原有的明文,同时还使用了新建的 ServiceAccount 替换了项目级 default sa。
  2. 执行命令,根据新的配置更新应用资源。
$ oc delete -k $SAMPLE_PATH/default/k8s/base/ 
$ ./entrypoint.sh
$ oc apply -k .

安全风险修复结果

  1. 在 Violations 中可以看到只有 1 个 High 级别违规了,确认是 registry.redhat.io/rhel8/mysql-80 镜像引起的。
    在这里插入图片描述
  2. 在 access.redhat.com 网站查找 rhel8/mysql-80 镜像,确认其中确实包含一个 Important 的 CVE,编号为:RHSA-2022:8638。
    在这里插入图片描述

演示视频

参考

https://qiita.com/shin7446/items/e0aeb58625b4586274f7

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
云原生培训-openshift-ocp3红帽原厂培训ppt-完整版
03-16
云原生培训-openshift-ocp3红帽原厂培训ppt-完整版: 容器平台OPENSHIFT概览 部署容器应用
OpenShift 4 - 对镜像进行合规扫描,加固应用镜像安全
多恩斯基的博客
10-17 438
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录环境说明构建应用镜像加固镜像安全漏洞镜像合规扫描 环境说明 OpenShift 4.8 RHEL 8/CentOS 8 (其上安装有 openscap-utils,podman),或者 RHEL 7/CentOS 7(其上安装有 openscap-utils,docker) quay.io 账号 构建应用镜像加固镜像安全漏洞 允许从外部访问 OpenShift 内部的 Image Regi
容器相关安全加固建议
m0_73803866的博客
10-12 614
除了对 Docker 守护进程进行审计,还需要对 Docker 相关的文件和目录进行审计,例如 /var/lib/docker(包 含有关容器的所有信息)、/etc/docker(包含 Docker 守护进程和 Docker 客户端之间 TLS通信的所有密钥和证 书)、docker.service(Docker 守护进程运行参数配置文件)、docker.但建议所有的镜像文件应该由 Dockerfile 来创建,因为基于 Dockerfile 构建的镜像是完全透明的,所有的操作指令都是可控和可追溯的。
注册红帽并下载红帽镜像
最新发布
weixin_75194014的博客
03-12 536
下面是关于红帽注册和镜像文件下载的教程,让我带着大家一起来操作一下吧。
Redhat系列系统在线镜像
u010080562的博客
10-05 1万+
Redhat系列系统在线镜像
【Linux学习笔记】Linux镜像的下载与获取
Adlerian的博客
03-02 3903
红帽、kali、Linux获取下载
openshift-shoutcast-cartridge:Openshift应用程序的 Shoutcast 分发
06-11
Openshift应用程序的 SHOUTcast 分发 概念 具有(尚未运行)缩放功能的流媒体服务,简单的一行安装: 目前可用的发行版: 从这里: rhc app-create app-name 即时 Web 控制台部署: 缩放方法: 每个齿轮或...
Openshift-google-mirror:谷歌镜像openshift,nginx lua,反向代理
04-28
要安装此墨盒,请在创建应用程序时使用墨盒反射器 rhc create-app myapp http://cartreflect-claytondev.rhcloud.com/reflect?github=rexdf/Openshift-google-mirror 配置 盒式磁带将安装两个配置文件。 其中一个...
openshift-jee-sample:将在openshift环境中部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境中部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
Redhat Linux加固方案.docx
11-19
目前,网络安全逐渐被重视,更多的公司开始执行等保评定,本文主要介绍Redhat Linux系统在做等保时需要加固和注意的事项。
redhat官方镜像大全
11-22
redhat linux 官方资源大全,版本从5开始大部分都有!!
Docker 安全加固措施
thermal_life的博客
05-28 1165
# 我们运行一个容器 [root@server1 ~]# docker run -it --rm --memory 256MB --memory-swap 256MB ubuntu root@3f308cdd0b55:/# free -m # 查看内存 total used free shared buffers cached Mem: 991 433 557 12
docker容器的安全加固
qq_41830712的博客
06-05 783
前言: 社区中常用的做法是利用lxcfs来提供容器中的资源可见性。lxcfs是一个开源的FUSE(用户态文件系统)实现来支持LXC容器。 LXCFS通过用户态文件系统,在容器中提供下列 procfs 的文件: /proc/cpuinfo /proc/diskstats /proc/meminfo /proc/stat /proc/swaps /proc/uptime 比如,把宿主机的 /var/...
红帽linux安全配置,Redhat_安全加固.doc
weixin_28894423的博客
05-14 482
Redhat_安全加固RHEL 操作系统安全加固手册目 录第1章 账号安全1-11.1 密码规则1-11.1.1 密码长度、有效期(必做)1-11.1.2 空密码检查(必做)1-21.1.3 密码复杂度(必做)1-21.2 登录验证规则1-31.2.1 记录用户登录失败次数并锁定(必做)1-31.2.2 查看用户登录失败次数(查看)1-31.2.3 解锁已锁定用户1-41.3 访问控制1-41....
红帽linux镜像下载教程,最新版:如何到Redhat官网下载RedHat镜像及申请试用安装序号...
热门推荐
weixin_35709851的博客
05-02 1万+
如何在Redhat官网下载Redhat镜像文件前言:遇到的问题这几天想系统的学习一下Redhat的知识,于是找来了相关资料,但是没有环境如何是好呢?于是就想下载Redhat Enterprise Linux在虚拟机里面玩,可是问题由来了,如何到官网下载需要镜像呢?解决办法经过折腾终于了解了如何做,而在晚上其他地方下载的镜像在做实验的时候,有些功能没有,不想去折腾,就想还是到官网下载吧。下面就给和我...
红帽RHEL官方ISO镜像大全
kingbin的博客
05-06 1万+
版本信息: RHEL-6.5 x86_64 #3.59G RHEL-6.9 x86_64 #3.62G RHEL-7.0 x86_64 #3.49G RHEL-7.3 x86_64 #3.53G RHEL-7.5 x86_64 #4.3G RHEL-8.0 x86_64 #6.62G RHEL-8.1 x86_64 #7.31G RHEL-8.2 x86_64 #7.86G ...
虚拟机安装红帽教程
m0_63245056的博客
12-12 8411
1、打开VM,新建虚拟机 2、选择自定义,下一步 3、默认,下一步 4、选择稍后安装操作系统 5、这里选择Linux,版本选Red Hat 7 6、这里随意,建议不要选择C盘 7、都选择2,下一步 8、默认,下一步 9、默认,下一步 10、默认 ,下一步 11、默认 ,下一步 12、创建虚拟磁盘,下一步 13、选择拆分成多个 ...
OpenShift 2.2.13 用户指南:云端应用程序管理详解
OpenShift用户手册(英文版)是专为那些希望在云平台上管理网络应用的用户设计的一份详尽指南。该手册属于OpenShift 2.2.13版本,由Red Hat公司提供,遵循Creative Commons Attribution-ShareAlike 3.0 Unported (CC...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值