Docker 命令——安全

最新推荐文章于 2024-10-15 16:47:38 发布
最新推荐文章于 2024-10-15 16:47:38 发布
阅读量702 收藏 15
点赞数 24
文章标签: docker 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/zzz6583zz/article/details/142263785
版权

我们将学习两个命令。第一个命令是 docker container run 命令,这样你就能看到使用该命令的一些好处。其次,我们将看看 docker container diff 命令,你可以用它来查看在已有的镜像基础上做了什么。让我们看看如何使用这两个命令来确保容器的安全。

Docker Run 命令

关于 docker run 命令,我们将主要关注允许将容器内的所有内容设置为只读的选项,而不是指定的目录或卷。这有助于限制恶意 "应用程序 "可能造成的破坏,因为恶意 "应用程序 "也可能通过更新二进制文件来劫持易受攻击的应用程序。让我们来看看如何启动只读容器,然后再分析它的作用,具体如下:

docker container run -d --name mysql --read-only -v /
var/lib/mysql -v /tmp -v /var/run/mysqld -e MYSQL_ROOT_
PASSWORD=password mysql

在这里,我们运行一个 MySQL 容器,并将整个容器设置为只读,但以下文件夹除外:

  1. /var/lib/mysql
  2. /var/run/mysqld
  3. /tmp

这些卷将创建为三个单独的卷,然后以读/写方式挂载。如果不添加这些卷,MySQL 将无法启动,因为它需要读/写访问权限才能在 /var/run/mysqld 中创建套接字文件,在 /tmp 中创建一些临时文件,最后在 /var/lib/mysql 中创建数据库本身。

容器内的任何其他位置都不允许写入任何内容。如果您尝试运行以下程序,就会失败:

docker container exec mysql touch /trying_to_write_a_file

前面的命令会给出如下信息:

如果可以控制容器可写入(或不可以写入)的位置,这将非常有用。请务必明智使用。彻底测试,因为当 "应用程序 "无法写入某些位置时可能会产生严重后果。

与上一条命令类似,在 docker 容器运行时,我们将所有内容都设置为只读(指定卷除外),而现在我们可以反其道而行之,只将一个卷(或更多,如果使用更多 -v 开关)设置为只读。

关于卷,需要记住的一点是,当你使用一个卷并将其挂载到容器中时,它将作为一个空卷挂载到容器内目录的顶部,除非你使用 --volumes-from 开关或在容器启动后以其他方式将数据添加到容器中;例如,你可以使用类似下面的命令:

docker container run -d -v /local/path/to/html/:/var/www/
html/:ro nginx

这将把 /local/path/to/html/ 从 Docker 主机挂载到 /var/www/html/,并将其设置为只读。如果不想让运行中的容器写入卷,以保持数据或配置文件的完整性,这将非常有用。

Docker diff 命令

让我们再来看看 docker diff 命令;由于它与容器的安全方面有关,你可能想使用托管在 Docker Hub 或其他相关存储库中的镜像。请记住,无论谁能访问你的 Docker 主机和 Docker 守护进程,他都能访问你所有正在运行的 Docker 容器。也就是说,如果你没有进行监控,就可能有人对你的容器执行命令并进行恶意操作。让我们看看在上一节中启动的 MySQL 容器:

docker container diff mysql

您会发现没有文件返回。这是为什么呢?

那么,docker diff 命令就会告诉你,自从容器启动以来,映像发生了哪些变化。在上一节中,我们启动了只读映像的MySQL容器,然后将卷挂载到我们知道MySQL需要能够读写的地方–这意味着我们下载的镜像和正在运行的容器之间没有文件差异。

停止并移除 MySQL 容器,然后运行以下操作修剪卷:

docker container stop mysql
docker container rm mysql
docker volume prune

然后,再次启动相同的容器,去掉只读标记和卷,就会得到不同的结果,如下所示:

docker container run -d --name mysql -e MYSQL_ROOT_
PASSWORD=password mysql
docker container exec mysql touch /trying_to_write_a_file
docker container diff mysql

如你所见,创建了两个文件夹,并添加了几个文件:

这是发现容器内任何不正常或意外情况的好方法

最后

从时代发展的角度看,网络安全的知识是学不完的,而且以后要学的会更多,同学们要摆正心态,既然选择入门网络安全,就不能仅仅只是入门程度而已,能力越强机会才越多。

因为入门学习阶段知识点比较杂,所以我讲得比较笼统,大家如果有不懂的地方可以找我咨询,我保证知无不言言无不尽,需要相关资料也可以找我要,我的网盘里一大堆资料都在吃灰呢。

干货主要有:

①1000+CTF历届题库(主流和经典的应该都有了)

②CTF技术文档(最全中文版)

③项目源码(四五十个有趣且经典的练手项目及源码)

④ CTF大赛、web安全、渗透测试方面的视频(适合小白学习)

⑤ 网络安全学习路线图(告别不入流的学习)

⑥ CTF/渗透测试工具镜像文件大全

⑦ 2023密码学/隐身术/PWN技术手册大全

如果你对网络安全入门感兴趣,那么你需要的话可以点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

扫码领取

程序员鱼
关注
Docker学习——docker常用命令
xiaotian_dev的博客
12-08 487
Docker常用命令 镜像相关命令 1. 查看镜像 docker images REPOSITORY :镜像名称 TAG:镜像标签 IMAGE ID:镜像 ID CREATED:镜像的创建日期(不是获取该镜像的日期) SIZE:镜像的大小 镜像都存在与Ddocker宿主机的/var/lib/docker目录下 2. 搜索镜像 docker search 镜像名称 NAME:仓库名称 D...
Docker① —— 八股总结
qq_51148151的博客
04-18 1177
docker八股总结
docker基础——安装docker
qq_33650193的博客
03-13 560
docker基础
Docker学习——③
冯同学的博客
11-04 431
镜像仓库的基本概念,分类,工作机制以及镜像仓库的命令
Docker——数据卷命令
weixin_51351637的博客
11-25 3969
容器与数据耦合的问题 数据卷:volume,是一个虚拟的目录,指向宿主机文件系统中的某个目录 数据卷的作用:将容器与数据分离,解耦合,方便操作容器内数据,保证数据安全 数据卷操作: 比如说,我们在宿主机文件系统中修改,一定会立即反应到数据卷(volumes)对应的容器内部,不用再进入容器内部修改 也方便了数据的共享第二个容器的config目录也来挂载config数据卷,也就是说两个容器可以挂载同一个卷,我们在宿主机文件系统中做的一切修改,这两个容器也能看到,这就是数据共
Docker容器——网络模式
weixin_71429844的博客
10-17 1598
Docker容器——网络模式
Docker学习——docker高级
weixin_44227063的博客
02-13 1653
Docker高级前言一、Docker数据卷引入二、DockerFile制作镜像三、Docker网络四、Docker实战 前言 上一篇文章,我们学习了docker的基础操作,还是那句话,渴望升职加薪的我们怎么可能仅仅停留在基础上,那就来继续学习下docker的数据卷、DockerFile和Docker网络吧。文章课程链接:【狂神说Java】Docker最新超详细版教程通俗易懂 一、Docker数据卷 引入 二、DockerFile制作镜像 三、Docker网络 四、Docker实战 ...
docker篇——镜像
u014112521的专栏
12-16 2406
docker篇——镜像Docker镜像(一)概述(二)操作(三)镜像与分层(四)镜像散列值(摘要)(五)多层架构的镜像多层架构的镜像(Multi-architecture Image)删除镜像 Docker镜像 (一)概述 定义 镜像由多层组成,每层叠加之后,从外部看来就如一个独立的对象。镜像内部是一个精简的操作系统,同时还包含应用运行所必须的文件和依赖包。 仓库 一般镜像是从镜像仓库中拉去的,常见的镜像仓库是Docker Hub等等 理解 镜像——————构建时(build-time)结构 容
Docker Context——使用 docker 命令管理多个 docker 节点
k4nz
04-21 1056
永久地址:Docker Context——使用 docker 命令管理多个 docker 节点(保存网址不迷路 ????) 问题描述 在 Docker 中,通过 Docker Context 特性,可以实现:使用本地 docker 命令,管理多个远程的 Docker 节点。而且不仅如此,还可以管理 Swarm 集群、Kubernetes 集群。当然,由于 Docker Context 在 Swarm 与 Kubernetes 中的应用较少,所以我们内容的重点也放在使用 Docker Context
docker入门——思维导图
07-21
Docker命令 1. `docker images`:查看本地所有镜像。 2. `docker search`:从仓库中寻找所需镜像。 3. `docker pull`:下载镜像到本地仓库。 4. `docker rmi`:删除本地指定镜像。 5. `docker run`:创建并启动...
深入解析:私有Docker注册表VS Docker Hub —— 实战搭建指南
奇妙的Bug之旅
09-09 262
Docker Hub是一个公共的Docker镜像仓库,任何用户都可以免费上传和下载Docker镜像。它为开发者提供了一个分享自己创建的镜像的平台,同时也支持团队协作和自动化构建等功能。然而,对于企业级应用来说,出于安全性和合规性的考虑,往往更倾向于使用私有的注册表来存放敏感的应用程序镜像和数据。私有Docker注册表则是一个由组织自行管理的Docker镜像仓库。它可以部署在内部网络中,确保数据不会泄露到外部互联网。此外,私有注册表还可以根据企业的特定需求进行定制化配置,比如增加认证机制、访问控制等安全措施。
Docker——Docker安全及日志管理
weixin_59792733的博客
12-05 344
Docker——Docker安全及日志管理
docker仓库——搭建registry私有仓库
S_K15的博客
07-27 4039
docker仓库一、什么是仓库二、docker hub三、registry工作原理四、配置镜像加速器五、搭建私有仓库1、导入registry镜像2、添加证书和密钥3、添加用户认证功能4、建立registry容器5、docker主机认证 一、什么是仓库 1、docker 仓库是用来包含镜像的位置,docker提供一个注册服务器(register)来保存多个仓库,每个仓库又可以包含多个具备不同tag的镜像。 2、docker运行中使用的默认仓库是 docker hub 公共仓库。 二、docker hub
宝塔docker中如何修改应用配置文件参数
天天打码-16年老码农
10-09 382
今天在宝塔docker安装了kkfileview,相修改应用里的application.properties,却找不到在哪,如何修改?在这里是找不到对应修改的地方,其实docker就是镜像一个完善的系统,只要找到对应文件存在哪就可以修改了。这里就是完整的docker系统的镜像目录文件,一般修改应用在opt目录里。docker安装好对应容器后,是这样。在右边,点击更多,找到目录。下面教大家应用找文件修改。
docker详解介绍+基础操作 (四)容器镜像
m0_66705547的博客
10-10 1127
Docker 镜像是 Docker 技术的核心组成部分之一,它用于封装应用程序及其依赖项,以便在任何支持 Docker 的环境中运行。当构建一个新的镜像时,Docker 会根据 Dockerfile 中的指令逐层构建。dive 是一个用于探索和分析 Docker 镜像的工具,可以帮助你理解镜像的每一层,并优化镜像构建过程。启动 dive 后,你可以逐层查看镜像的构建过程,发现哪些层占用了较多的空间,并进行相应的优化。4. 使用较小的基础镜像:选择较小的基础镜像,如 alpine,以减少镜像大小。
东方通 TongWebV7 Docker 部署与 Spring Boot 集成指南
敲代码别忘了喝上一杯凉白开。
10-11 545
本文详细讲解了如何在 Docker 环境中将东方通 TongWeb V7 集成到 Spring Boot 项目中并完成容器化部署的全过程。首先,文章介绍了将 `license.dat` 证书文件嵌入项目的必要性,并通过修改 Spring Boot 的配置文件实现对 TongWeb V7 的支持。接着,提供了 Maven 依赖的调整方案,移除默认的 Tomcat 并引入 TongWeb 的依赖。最后,通过 Docker Compose 配置文件,指导用户如何挂载证书和日志文件,实现便捷管理和项目部署。
Windows11下 安装 Docker部分疑难杂症(Unexpecter WSL error)
weixin_43752106的博客
10-09 555
不过docker还是跑不起来,因为docker需要wsl2才能运行,后面就看到说要把Ubuntu 的wsl版本设为2。装了大半天Docker desktop终于装好了,网上有的主流教程就不复述了,主要说一下网上没有的教程。这时候突然想起以前因为虚拟机Vmware有蓝屏的现象,关闭了一些虚拟机相关服务,于是 来到。网上看了很多文章,我都设置了,没用,后看到这篇文章,卧槽,居然跑成功了。虽然不知道原理,但ubuntu确实可以使用了,也能看到有Ubuntu了。(修好了,没复现,借张图)这个非常棘手。
Docker实践与应用举例
最新发布
Hellc007的博客
10-15 570
Docker是一种开源的容器化平台,用于简化应用程序的开发、部署和运行。容器化是将应用程序及其依赖打包在一起,在任何支持Docker的环境中运行,确保应用程序在开发、测试、生产环境的一致性。从Docker Hub上拉取指定的镜像。启动一个容器并映射端口。列出所有正在运行的容器docker ps停止运行的容器Docker通过提供轻量、隔离且一致的运行环境,极大简化了应用开发和部署流程。本文通过多个实际案例,展示了Docker在本地开发、CI/CD、微服务架构以及大规模容器编排中的应用与优化。
Docker监控之——DockerUI
05-19
这个命令会从Docker Hub上下载DockerUI镜像,并在本地启动一个名为dockerui的容器。其中,-p选项用于指定容器内部端口与主机端口的映射,--privileged选项用于允许容器访问主机的特权资源,-v选项用于将主机上的...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值