51CTO首页
AI.x社区
博客
学堂
精品班
软考社区
免费课
企业培训
鸿蒙开发者社区
WOT技术大会
IT证书
公众号矩阵
移动端
短视频免费课程课程排行直播课软考学堂
全部课程厂商认证IT技术24年11月软考PMP项目管理免费题库
在线学习
文章资源问答课堂专栏直播
51CTO
鸿蒙开发者社区
51CTO技术栈
51CTO官微
51CTO学堂
51CTO博客
CTO训练营
鸿蒙开发者社区订阅号
51CTO软考
51CTO学堂APP
51CTO学堂企业版APP
鸿蒙开发者社区视频号
51CTO软考题库
账号设置 退出

如何使用Docker Bench for Security审查部署的容器?

译文
作者:布加迪
开发 前端
Docker Bench for Security是一种简单的方法,用于检查生产环境中部署的Docker方面的常见实践。本文介绍了如何使用该工具。

[[393437]]

【51CTO.com快译】容器部署方面的最大问题之一是安全。这之所以是个问题,是由于要检查的可变因素太多。您的容器清单文件可能很安全,可是主机呢?也许您的主机很安全,但YAML文件充斥着安全漏洞。

该如何是好?您可以花数小时乃至数天梳理所有内容以确保那些部署安全,也可以使用现成的工具。Docker Bench for Security这个预构建的容器就是这样一款工具,它在审查容器主机和目前运行的部署方面做得很好。不像许多此类工具,Docker Bench for Security非常易于使用。

Docker Bench for Security审查以下内容:

  • 常规配置
  • Linux主机特定配置
  • Docker守护程序配置
  • Docker守护程序配置文件
  • 容器映像和构建文件
  • 容器运行时环境
  • Docker安全运营
  • Docker Swarm配置
  • Docker企业配置
  • Docker可信注册中心配置

下面介绍如何完成此操作。

您需要什么?

您只需要在服务器上运行的Docker实例以及与可运行Docker命令的docker组关联的用户。

我将在Ubuntu Server 20.04上进行演示,但该工具可以在支持Docker的任何平台上运行。

如何获得Docker Bench?

我们首先要做的是从GitHub克隆该工具。如果您尚未安装git,使用以下命令来安装:

  1. sudo apt-get install git -y 

使用以下命令克隆Docker Bench:

  1. git clone https://github.com/docker/docker-bench-security.git 

使用以下命令切换到新创建的目录:

  1. cd docker-bench-security 

如何配置Docker守护程序?

在运行审查之前,我们需要创建一个Docker守护程序配置文件。使用以下命令创建该文件:

  1. sudo nano /etc/docker/daemon.json 

在该文件中,粘贴以下内容:

  2.  "icc"false
  3. "userns-remap""default"
  4.  "live-restore"true
  5. "userland-proxy"false
  6. "no-new-privileges"true 

保存并关闭文件。

如何安装和配置auditd?

现在,我们需要使用以下命令安装auditd:

  1. sudo apt-get install auditd -y 

安装完成后,使用以下命令打开auditd规则文件:

  1. sudo nano /etc/audit/audit.rules 

在文件底部,粘贴以下内容:

  1. -w / usr / bin / docker -p wa 
  2. -w / var / lib / docker -p wa 
  3. -w / etc / docker -p wa 
  4. -w /lib/systemd/system/docker.service -p wa 
  5. -w /lib/systemd/system/docker.socket -p wa 
  6. -w / etc / default / docker -p wa 
  7. -w /etc/docker/daemon.json -p wa 
  8. -w / usr / bin / docker-containerd -p wa 
  9. -w / usr / bin / docker-runc -p wa 

保存并关闭文件。

使用以下命令重新启动auditd:

  1. sudo systemctl restart auditd 

最后,使用以下命令重新启动Docker守护程序:

  1. sudo systemctl restart docker 

如何运行审查?

在docker-bench-security目录中时,使用以下命令启动审查:

  1. ./docker-bench-security.sh 

上述命令将运行审查,并开始列出以下任何一项的详细信息:

  • 通过(PASS)
  • 信息(INFO)
  • 说明(NOTE)
  • 警告(WARN)

审查完成后,您得梳理输出结果,至少要处理被列为“警告”的所有内容(见图A)。您甚至可能需要处理一些“信息”或“说明”消息。

图A. Docker Bench的输出结果清楚地表明了需要修复的内容

您得到的输出结果将取决于已部署的主机和容器的配置。然而,您的目标应该是至少修复每条警告。解决这些问题后,确保重新运行审查,直至不再看到任何“警告”标签列出来。

这就是使用Docker Bench for Security审查主机和容器的全过程。

原文标题:How to use Docker Bench for Security to audit your container deployments,作者:Jack Wallen

【51CTO译稿,合作站点转载请注明原文译者和出处为51CTO.com】

责任编辑:华轩 来源: 51CTO
容器Docker工具
相关推荐
如何使用 Docker 部署容器
设想,为了推出一个网站,您不必从裸机安装一个完整的服务器。而不是安装操作系统,然后安装服务器软件,然后部署精心设计的应用程序或站点,您可以简单地在一个独立的包中开发所有内容,并使用单个命令将其推出。

2019-07-01 09:33:58

DockerNginx操作系统
如何使用Ansible部署容器
容器不可逃避,因为它们继续在企业IT部署中唱主角。你可以将它们部署为应用程序和服务等。

2020-01-02 10:44:22

运维架构技术
如何使用 Docker 部署 GitLab
在Docker的帮助下,您可以做到这一点。我将向你展示它是如何完成的。它并不过分复杂,但需要许多步骤。所以,事不宜迟,让我们开始工作吧。要完成此任务,需要一个正在运行的UbuntuServer实例和一个具有sudo权限的用户。

2022-07-29 15:19:27

Dockersudo权限
OpenStack Magnum如何部署Docker Swarm等容器
OpenStackMagnum通常用于部署和监控容器——如DockerSwarm、GoogleKubernetes和ApacheMesos等,但是除此之外这个项目还有一些其他有用工具。

2016-12-01 13:37:42

OpenStack MDocker Swar容器
如何使用 lazydocker 管理您 Docker 容器
lazydocker是一个TUI应用程序,可以帮助您在一个地方管理和监控所有的Docker容器。

2023-06-16 16:06:02

lazydockerDocker容器
如何使用docker compose部署服务
Docker有三个主要的作用:Build,Ship和Run,使用dockercompose我们可以在Run的层面解决很多实际问题。本文通过发布3个APP(App1,App2,App3),来演示Docker在服务发布、网络、共享分区以及信息隔离与连通方面的工作。

2017-05-23 15:53:52

docker服务容器
如何快速使用Docker部署我们微服务
Docker是一个开源的应用容器引擎,它让开发者可以打包他们的应用以及依赖包到一个可移植的镜像中,然后发布到任何流行的Linux或Windows操作系统的机器上,也可以实现虚拟化。容器是完全使用沙箱机制,相互之间不会有任何接口。

2023-09-26 07:34:24

Docker部署依赖包
如何使用 Docker 高效部署 Node 应用
一个合理并且高效的部署方案,不仅能够实现快速升级,平滑切换,负载均衡,应用隔离等部署特性,而且配有一套成熟稳定的监控。

2020-08-28 13:27:25

Docker Node应用
如何使用Docker Machine部署Swarm集群
本文研究如何使用DockerMachine部署Swarm集群,主要以DigitalOcean作为驱动,通过创建一个主控节点和一个从节点成功地部署了集群。

2015-08-03 16:15:53

Docker部署集群
如何使用Elasticsearch和cAdvisor监控Docker容器
在Dockernetwork特性出来以前,你可以使用Dockerlink特性实现容器互相发现、安全通信。而在network特性出来以后,你还可以使用link,但是当容器处于默认桥接网络或用户自定义网络时,它们的表现是不一样的。现在创建overlay网络,名称为monitoring。

2016-10-08 15:42:02

ElasticsearcAdvisorDocke
Docker容器部署Zabbix监控系统
前文介绍了Docker容器技术的一些基本概念和基本操作,可以说容器化技术已经应用地越来越普遍了,越来越多的产品都提供容器化的部署方案。本文就以Docker容器化部署Zabbix监控系统为例,看看与传统的部署方式相比,容器化部署会给用户带来多少便捷。

2019-12-05 10:40:41

DockerMySQL数据库
Docker容器如何诞生
Docker项目从发布之初就全面发力,从技术社区商业市场全方位争取到的开发者群体,实际上为此后吸引整个生态到自家“PaaS”上的一个铺垫只不过这时,“PaaS”的定义已全然不是CloudFoundry描述的那样,而是变成了一套以Docker容器为技术核心,以Docker镜像为打包标准的、全新的“容器化”思路。

2022-10-08 00:00:02

Docker项目技术
如何使用CyberPanel轻松管理Docker映像和容器
如果您是一家托管服务提供商,希望将容器添加到产品中,本文介绍了借助CyberPanel做到这一点有多容易。

2021-05-11 08:00:00

Docker容器开发
架构设计:Docker容器部署
在现代软件开发和部署中,Docker容器化技术已经成为一种重要的解决方案。它不仅简化了应用程序的构建和部署过程,还提供了跨环境一致性、可移植性和高效性。

2023-08-29 15:17:40

Docker容器架构
使用 Docker 部署 GPT
随着ChatGPT的安全限制越来越严,部分网友的账号可能已经被封。又随着ChatGPT加了Cloudflare的验证,还有使用公共机场的IP也受到了限制。即使账号没有被封,也无法访问了。即使能访问,也没有那么丝滑。

2023-08-08 10:23:34

Docker 容器部署 Django 时区问题
我们期望着通过在settings.py中配置以后,Django就能正确地获取本地时间,但是实际上却事与愿违,我们看一看这两个设置有什么作用。

2021-10-13 08:53:09

Docker Django 容器
如何基于 Arthur Bench 进行 LLM 评估 ?
由于LLM的特性,其评估结果可能会受到不同配置和参数设置的影响。这意味着对LLM进行评估时,需要仔细选择和配置模型,以确保其行为符合预期。

2024-03-04 00:05:00

人工智能LLM 评估
如何使用原子主机(Atomic Host)、Ansible和Cockpit部署容器
我们不能在原子主机上使用dnf命令。原子主机并没有设计为通用操作系统,而是更适合容器和其他用途。但在原子主机上设置应用程序和服务仍然非常容易。这篇文章向您展示了如何自动化和简化这个过程。

2016-10-17 13:33:26

原子主机AnsibleCockpit
如何在Windows 10里使用Docker部署MySQL
eclipse配置详解

2018-03-09 10:07:34

mysql
如何使用不同命令启动已经停止运行 Docker 容器
使用Python容器,不修改系统的一个文件,安全环保,不想用了,直接停止删除容器,再删除镜像。

2022-05-06 07:20:38

Docker容器镜像
点赞
收藏

51CTO技术栈公众号

业务
速览
在线客服