你的Docker环境安全吗?

最新推荐文章于 2024-08-06 14:02:49 发布
原创 最新推荐文章于 2024-08-06 14:02:49 发布 · 537 阅读 · 0 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#工具 #环境 #配置 #系统 #镜像

本文介绍了一款名为docker-bench-security的开源工具,它能够帮助用户检查Docker环境的安全性。该工具通过运行一系列最佳实践检查,确保Docker环境符合生产标准。运行此工具需要赋予容器一定的权限,如访问主机文件系统、PID、网络等。

我们在日常使用docker的时候,并不清楚我们的环境是否安全,是否存在问题,今天给大家推荐一款docker环境扫描工具 - docker-bench-security. 他是一款开源的扫描工具,官方地址是:https://github.com/docker/docker-bench-security,通过运行容器,可以快速和系统的监测你的docker环境是否安全。
下面是一个运行的例子:

图片描述

从上可以看出,该容器在主机配置和引擎配置两个方面进行了检查,可以说是非常全面的。Docker Bench Security是一个脚本,通过大量的best-pratice检查你的环境是否可以用于产品环境。

运行docker-bench-secrury

该项目是将扫描过程全部打包进一个小的容器,由于需要检查外部的docker运行环境,所以需要一系列特权,比如:主机的文件系统, PID,网络,systemd等。最简单的运行方式就是运行已经生成好的容器:

docker run -it --net host --pid host --cap-add audit_control \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker/docker-bench-security

为了能运行这个容器,docker版本至少需要是1.10以后的版本,同时这个镜像是基于alpine的,然后通过Dockerfile进行封装。

如何获取最新版本,并编译镜像

官方镜像有时不一定是最新的,如果需要获得最新的版本,通过下面的方式:

git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker build -t docker-bench-security .
docker run -it --net host --pid host --cap-add audit_control \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker-bench-security

或者使用docker-compose:

git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker-compose run --rm docker-bench-security

再或者直接在主机上使用原始脚本:

git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
sh docker-bench-security.sh

本项目的脚本是兼容POSIX 2004的,因此在所有的*nix系统下都是可用的。好了到这儿就基本介绍完毕了,你的docker环境扫描了吗?

Docker不香吗?为什么还要用k8s
华科硕士,大厂打工中。编程问题咨询,请私我
05-23 5017
本文禁止转载! 目录 容器化时代来了 容器化技术的尖刀武器 Docker 横空出世 Docker怎么用? 编排系统的需求催生 k8s k8s与Docker Swarm江湖恩怨 k8s是做什么用的? K8s 架构和组件 Docker与k8s 难舍难分 开发实践,灵魂追问 最后一个问题 随着k8s 作为容器编排解决方案变得越来越流行,有些人开始拿 Docker 和 k8s进行对比,不禁问道:Docker 不香吗? k8s 是kubernets的缩写,’8‘代表中间的八个字符.
Podman是什么?它与Docker有什么区别?
ma_xiao_qi的博客
05-10 2万+
容器编排工具作为当今最重要的Web开发技术之一,众多强者都在尝试争夺这一行业的主导地位。 Podman是RedHat的一款产品,旨在使用类似于Kubernetes的方法来构建、管理和运行容器,作为一款主流容器的可靠替代产品,它吸引了开发人员的关注。自RHEL 8起,Red Hat用CRI-O/Podman取代了Docker Daemon。为什么Red Hat想要摆脱Docker Daemon?这是因为使用Docker Daemon运行Docker有以下这些问题: 单点故障问题,Docker Daemon
docker-bench-security:Docker Bench for Security是一个脚本,该脚本检查有关在生产环境中部署Docker容器的数十种常见最佳实践
04-01
Docker Bench for Security Docker Bench for Security是一个脚本,该脚本检查有关在生产环境中部署Docker容器的数十种常见最佳实践。 这些测试都是自动化的,并且受到启发。 我们将其作为开源实用程序提供,因此Docker社区可以有一种简便的方法,可以根据此基准对自己的主机和Docker容器进行自我评估。 运行Docker Bench以获得安全性 为了方便起见,我们将docker bench打包为一个小容器。 请注意,此容器正在运行时具有很多特权-共享主机的文件系统,pid和网络名称空间,这是因为基准测试的某些部分适用于正在运行的主机。 针对Docker Bench for Security运行主机的最简单方法是运行我们的预先构建的容器: docker run --rm --net host --pid host --userns ho
你的 Docker 应用是安全的吗?
wangpeng198688的专栏
01-21 1031
近一年来,Docker 已经逐渐成为 container 界的事实标准,成为技术人员不可或缺的技能之一,就像 Docker 宣称的那样,「Build,Ship,and Run Any App,Anywhere」,容器极大简化了环境部署的步骤,并且很好的保证了环境的一致性。Docker 的轻量级给云市场也注入了活力,国内已经有厂商发布了基于 Docker 的公有云服务,例如:灵雀云,DaoCloud。
Docker-bench-security安全CIS基准测试工具
weixin_45526912的博客
12-21 1548
在本教程中,我们将安装Docker Bench for Security,然后使用它来评估Ubuntu 16.04主机上默认Docker安装(来自官方Docker存储库)的安全性。然后我们将解决它发出的警告。审计将继续将此测试标记为WARN,访问默认的仅限本地的Docker套接字是通过要求docker组中的成员资格来保护的,因此可以放心地忽略它。使用Docker来容纳您的应用程序和服务可以为您提供开始即用的一些安全优势,但默认的Docker安装仍然有一些空间可用于一些与安全相关的配置改进。
Docker容器真的安全吗?
cuml0912的博客
06-05 436
本文基于我今年在DockerCon上的演讲。 它将讨论Docker容器安全性,我们当前的位置以及发展的方向。 这是有关Docker安全性的系列文章的一部分 ,请阅读第二部分 。 容器不包含 我听到并读到很多人都认为Docker容器实际上是沙箱应用程序-意味着他们可以使用Docker作为根在自己的系统上运行随机应用程序。 他们认为Docker容器实际上将保护其主机系统。 我听说...
docker是否安全
weixin_43106248的博客
09-14 717
docker本身是共享操作系统的进程,不存在不安全一说。如果说docker安全,那么所有的Linux程序就都是不安全的,而目前全球90%以上的网站都是运行在Linux上的。docker本身是容器技术的一种,所谓容器就像一个盒子,开发者只需暴露需要暴露的端口,如一个网站就只暴露80端口。而传统的服务器和云主机,基本是开发了所有的端口,或者是大多数端口,这种暴露其实是很危险的,因此docker反而会...
docker安全
Yusheng9527的博客
03-16 1014
docker安全 Docker存在的安全问题Docker自身漏洞Docker源码问题Docker架构缺陷与安全机制Docker安全基线标准内核级别主机级别网络级别镜像级别容器级别其他设置容器相关的常用安全配置方法容器最小化Docker远程API访问控制在docker服务配置文件指定监听内网ip重启 Docker在宿主机的firewalld上做IP访问控制在客户端上实现远程授权访问限制流量流向镜像安全 Docker存在的安全问题 Docker自身漏洞 作为一款应用Docker本身实现上会有代码缺陷。CVE官
Docker 环境搭建
最新发布
轻口味的专栏
08-06 1271
p 80:5000 将本机的80端口绑定容器内的5000端口,本地直接访问即可docker images :查看当前宿主机的所有镜像docker images ubuntu:根据仓库名列出镜像docker images ubuntu:14.04:指定仓库名和标签docker build -t webservice .:表示使用当前目录下的DockerFile来生成镜像,-t参数的值表示镜像的tagname,如果DockerFile在当前路径下则使用.,如果不在当前路径下则使用相对路径。
方案调研:数据库适合部署在Docker容器么?
dream317
05-26 1198
docker适合跑轻量级或分布式数据库,当docker服务挂掉,会自动启动新容器,而不是继续重启容器服务。
Docker安全
m0_58722908的博客
07-04 512
好的安全性是基于分层隔离的,Docker有很多分层。Docker 支持所有主流 Linux 安全机制,同时 Docker 自身还提供了很多简单的并且易于配置安全技术。 接下来主要介绍一些 Docker 中保障容器安全运行的一些技术。 安全本质就是分层!拥有更多的安全层,就能拥有更多的安全性。下图展示了一部分安全技术。 Linux Docker 利用了大部分 Linux 通用的安全技术。包括命名空间(Namespace)、控制组(CGroup)、系统权限(Capability),强制访问控制(MA
「快学DockerDocker容器安全性探析
热门推荐
wml_JavaKill的博客
08-25 3万+
Docker容器的安全性是容器化部署中至关重要的一环。通过遵循最佳实践,定期更新镜像,实施隔离和监控,以及限制权限和加强网络安全性,可以有效降低容器部署所带来的安全风险。然而,安全性是一个持续的过程,需要不断关注和改进,以保障整个系统的稳定性和可靠性。
绝不避谈 Docker 安全
GitChat
04-12 231
Docker 几乎已成为容器生态中的使用标准,其本质的容器技术也在技术发展史的多个维度上多有曲折。随着 Docker 技术的普及,众多企业都开始考虑将容器在生产环境落地。然而,新事物的采用,往往在客观上存在障碍,“安全”尤其是企业技术选型中的高压线。 IT领域信奉“技术安全”之外,同样也号召“安全生产”。到企业,往往需要双管齐下,即可靠的技术加安全的意识,方能保障业务决胜于千里。带着这两个维度,本...
Docker 容器真的安全么?
yamaxitas的专栏
07-07 1183
Docker 并没有做到对系统的完全隔离,Linux内核中未被namespace化的资源,存在安全隐患,请不要在docker 容器中以root运行应用。
Docker系列之安全
Linux运维老纪的博客
06-26 2414
容器的安全性问题的根源在于容器和宿主机共享内核。如果容器里的应用导致Linux内核崩溃,那么整个系统可能都会崩溃。与虚拟机是不同的,虚拟机并没有与主机共享内核,虚拟机崩溃一般不会导致宿主机崩溃。本章重点介绍容器的安全性问题。
12 个优化 Docker 镜像安全性的技巧
梁桂钊的博客
03-28 411
点击上方“服务端思维”,选择“设为星标”回复”669“获取独家整理的精选资料集回复”加群“加入全国服务端高端社群「后端圈」作者 | Marius出品| http://u6.gg/k7fa1本文介绍了 12 个优化 Docker 镜像安全性的技巧。每个技巧都解释了底层的攻击载体,以及一个或多个缓解方法。这些技巧包括了避免泄露构建密钥、以非 root 用户身份运行,或如何确...
现在都在说 Docker 好,那它有什么弊端吗?
架构师专栏
01-11 3198
Docker作为一种广受欢迎的容器化技术,在简化部署流程、提高应用的可移植性和效率方面发挥了重要作用,尤其是在一线互联网大厂中。然而,像任何技术一样,Docker也有其局限性和弊端。接下来,我将详细介绍Docker的一些潜在弊端。本文已收录于,我的技术网站,有大厂完整面经,工作技术,架构师成长之路,等经验分享。
Docker 安全么?
07-15
Docker安全方面提供了一些保护措施,但它仍然需要正确配置和管理才能确保安全性。下面是一些关于 Docker 安全性的考虑和措施: 1. 隔离性:Docker 使用容器来实现应用程序的隔离,每个容器都运行在自己的环境中,使得容器之间相互隔离。这有助于减少容器之间的攻击风险。 2. 用户权限管理:Docker 提供了用户权限管理机制,可以限制容器内部的用户对主机系统的访问权限。合理配置用户权限可以减少潜在的安全漏洞。 3. 镜像来源验证:在使用 Docker 镜像时,应该验证镜像的来源和完整性。只使用受信任的镜像源,并确保镜像在传输过程中没有被篡改。 4. 容器漏洞扫描:定期对容器进行漏洞扫描,及时发现并修复容器中的安全漏洞。可以使用一些工具如Clair、Trivy等来进行容器漏洞扫描。 5. 容器网络安全Docker 提供了网络隔离的功能,可以设置不同容器之间的网络访问规则,并限制容器对外部网络的访问。合理配置容器网络可以减少攻击面。 6. 容器监控和日志记录:实时监控容器的运行状态,记录容器的日志信息,有助于及时发现异常情况和安全事件。 7. 定期更新和维护:及时更新 Docker 引擎和相关组件,以修复已知的安全漏洞,并维护容器环境安全性。 尽管 Docker 提供了这些安全性措施,但在使用 Docker 时仍然需要谨慎操作。合理配置和管理容器,定期更新和扫描容器,以及保持对安全最佳实践的关注,都是确保 Docker 安全的关键。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值