如何使用DockerBenchforSecurity审查部署的容器?

容器部署方面的最大问题之一是安全。这之所以是个问题,是由于要检查的可变因素太多。您的容器清单文件可能很安全,可是主机呢?也许您的主机很安全,但YAML文件充斥着安全漏洞。

创新互联长期为上千家客户提供的网站建设服务,团队从业经验10年,关注不同地域、不同群体,并针对不同对象提供差异化的产品和服务;打造开放共赢平台,与合作伙伴共同营造健康的互联网生态环境。为科尔沁左翼企业提供专业的网站制作、成都网站建设科尔沁左翼网站改版等技术服务。拥有十余年丰富建站经验和众多成功案例,为您定制开发。

该如何是好?您可以花数小时乃至数天梳理所有内容以确保那些部署安全,也可以使用现成的工具。Docker Bench for Security这个预构建的容器就是这样一款工具,它在审查容器主机和目前运行的部署方面做得很好。不像许多此类工具,Docker Bench for Security非常易于使用。

Docker Bench for Security审查以下内容:

  • 常规配置
  • Linux主机特定配置
  • Docker守护程序配置
  • Docker守护程序配置文件
  • 容器映像和构建文件
  • 容器运行时环境
  • Docker安全运营
  • Docker Swarm配置
  • Docker企业配置
  • Docker可信注册中心配置

下面介绍如何完成此操作。

您需要什么?

您只需要在服务器上运行的Docker实例以及与可运行Docker命令的docker组关联的用户。

我将在Ubuntu Server 20.04上进行演示,但该工具可以在支持Docker的任何平台上运行。

如何获得Docker Bench?

我们首先要做的是从GitHub克隆该工具。如果您尚未安装git,使用以下命令来安装:

 
 
 
 
    
  
  
  
  
  1. sudo apt-get install git -y 
    2.

使用以下命令克隆Docker Bench:

 
 
 
 
    
  
  
  
  
  1. git clone https://github.com/docker/docker-bench-security.git 
    2.

使用以下命令切换到新创建的目录:

 
 
 
 
    
  
  
  
  
  1. cd docker-bench-security 
    2.

如何配置Docker守护程序?

在运行审查之前,我们需要创建一个Docker守护程序配置文件。使用以下命令创建该文件:

 
 
 
 
    
  
  
  
  
  1. sudo nano /etc/docker/daemon.json 
    2.

在该文件中,粘贴以下内容:

 
 
 
 
    
  
  
  
  
    2.   
  
  
  
  2.  "icc": false, 
    3.   
  
  
  
  3. "userns-remap": "default", 
    4.   
  
  
  
  4.  "live-restore": true, 
    5.   
  
  
  
  5. "userland-proxy": false, 
    6.   
  
  
  
  6. "no-new-privileges": true 
    7.   
  
  
  
    8.

保存并关闭文件。

如何安装和配置auditd?

现在,我们需要使用以下命令安装auditd:

 
 
 
 
    
  
  
  
  
  1. sudo apt-get install auditd -y 
    2.

安装完成后,使用以下命令打开auditd规则文件:

 
 
 
 
    
  
  
  
  
  1. sudo nano /etc/audit/audit.rules 
    2.

在文件底部,粘贴以下内容:

 
 
 
 
    
  
  
  
  
  1. -w / usr / bin / docker -p wa 
    2.   
  
  
  
  2. -w / var / lib / docker -p wa 
    3.   
  
  
  
  3. -w / etc / docker -p wa 
    4.   
  
  
  
  4. -w /lib/systemd/system/docker.service -p wa 
    5.   
  
  
  
  5. -w /lib/systemd/system/docker.socket -p wa 
    6.   
  
  
  
  6. -w / etc / default / docker -p wa 
    7.   
  
  
  
  7. -w /etc/docker/daemon.json -p wa 
    8.   
  
  
  
  8. -w / usr / bin / docker-containerd -p wa 
    9.   
  
  
  
  9. -w / usr / bin / docker-runc -p wa 
    10.

保存并关闭文件。

使用以下命令重新启动auditd:

 
 
 
 
    
  
  
  
  
  1. sudo systemctl restart auditd 
    2.

最后,使用以下命令重新启动Docker守护程序:

 
 
 
 
    
  
  
  
  
  1. sudo systemctl restart docker 
    2.

如何运行审查?

在docker-bench-security目录中时,使用以下命令启动审查:

 
 
 
 
    
  
  
  
  
  1. ./docker-bench-security.sh 
    2.

上述命令将运行审查,并开始列出以下任何一项的详细信息:

  • 通过(PASS)
  • 信息(INFO)
  • 说明(NOTE)
  • 警告(WARN)

审查完成后,您得梳理输出结果,至少要处理被列为“警告”的所有内容(见图A)。您甚至可能需要处理一些“信息”或“说明”消息。

图A. Docker Bench的输出结果清楚地表明了需要修复的内容

您得到的输出结果将取决于已部署的主机和容器的配置。然而,您的目标应该是至少修复每条警告。解决这些问题后,确保重新运行审查,直至不再看到任何“警告”标签列出来。

这就是使用Docker Bench for Security审查主机和容器的全过程。

当前题目:如何使用DockerBenchforSecurity审查部署的容器?
文章源于:http://www.shufengxianlan.com/qtweb/news40/522590.html

网站建设、网络推广公司-创新互联,是专注品牌与效果的网站制作,网络营销seo公司;服务项目有等

广告

声明:本网站发布的内容(图片、视频和文字)以用户投稿、用户转载内容为主,如果涉及侵权请尽快告知,我们将会在第一时间删除。文章观点不代表本网站立场,如需处理请联系客服。电话:028-86922220;邮箱:631063699@qq.com。内容未经允许不得转载,或转载时需注明来源: 创新互联

猜你还喜欢下面的内容

网站内链知识

同城分类信息

400电话申请    成都企业网站建设    微信公众号开发    成都广告招牌    网站设计    Android开发    盐亭网站制作公司    免费收录网站    南充网站建设    达州做网站    泸县网站建设    贵安服务器托管    广告吸塑字    内江服务器托管    乐山做网站    西信服务器托管    成都网站建设公司    云虚拟主机    乐山网站建设    成都网站建设公司