docker-bench介绍
Docker Bench是一个开源项目,源代码地址在这。docker-bench根据互联网安全中心(center for internet security,CIS)对于docker1.13.0+的安全规范进行一系列的安全检查,就是说CIS给出一个关于docker部署以及运行环境安全标准规范,bench对当前主机内的这些参数进行检查,输出相应的结果。(检查范围包括docker当前主机的配置,docker引擎,配置文件的权限,镜像安全,容器运行时的环境安全,安全项等6大方面)
docker-bench的安装
主机系统版本
笔者使用的cetos7.6
安装
第一步,下载源码
git clone https://github.com/docker/docker-bench-security.git
第二步,进入文件目录
cd docker-bench-security/
第三步,运行检查命令
docker run -it --net host --pid host --userns host --cap-add audit_control \ -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ -v /etc:/etc:ro \
-v /usr/bin/docker-containerd:/usr/bin/docker-containerd:ro \
-v /usr/bin/docker-runc:/usr/bin/docker-runc:ro \
-v /usr/lib/systemd:/usr/lib/systemd:ro \
-v /var/lib:/var/lib:ro \
-v /var/run/docker.sock:/var/run/docker.sock:ro \
--label docker_bench_security \
docker/docker-bench-security`
注意:实际运行命令可以查看docker-bench-security目录下的READM文件。
输出检测结果
上述运行成功后,当前终端会打印输出下述内容,(也就是dockcer-bench的检测结果和一些安全建议)。
二次开发
小伙伴们可以通过修改docker-bench源码增加检测项目,以及修改检测级别。