So verwenden Sie Docker zum Scannen der Containersicherheit und zur Reparatur von Schwachstellen

Docker ist aufgrund seiner Fähigkeit, Anwendungen und Abhängigkeiten zur Portabilität in Container zu packen, zu einem unverzichtbaren Werkzeug für Entwickler und Betreiber geworden. Bei der Verwendung von Docker müssen wir jedoch auf die Sicherheit des Containers achten. Wenn wir nicht aufpassen, können Sicherheitslücken in Containern ausgenutzt werden, was zu Datenlecks, Denial-of-Service-Angriffen oder anderen Gefahren führen kann. In diesem Artikel besprechen wir die Verwendung von Docker zum Sicherheitsscannen und zur Schwachstellenreparatur von Containern und stellen spezifische Codebeispiele bereit.

1. Scannen der Containersicherheit

Beim Scannen der Containersicherheit geht es darum, potenzielle Sicherheitslücken in Containern zu erkennen und rechtzeitig Maßnahmen zu deren Behebung zu ergreifen. Sicherheitsscans in Containern können durch den Einsatz einiger Open-Source-Tools erreicht werden.

1.1 Sicherheitsscan mit Docker Bench

Docker Bench ist ein Open-Source-Tool, das grundlegende Sicherheitsprüfungen von Docker-Containern durchführen kann. Hier sind die Schritte zum Scannen der Containersicherheit mit Docker Bench:

(1) Installieren Sie zuerst Docker Bench

docker pull docker/docker-bench-security

(2) Scannen Sie dann den Container

docker run -it --net host --pid host --userns host --cap-add audit_control 
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST 
    -v /etc:/etc:ro 
    -v /var/lib:/var/lib:ro 
    -v /usr/bin/docker-containerd:/usr/bin/docker-containerd:ro 
    -v /usr/bin/docker-runc:/usr/bin/docker-runc:ro 
    -v /usr/lib/systemd:/usr/lib/systemd:ro 
    -v /var/run/docker.sock:/var/run/docker.sock:ro 
    --label docker_bench_security 
    docker/docker-bench-security

(3) Warten Sie, bis der Scan abgeschlossen ist, und sehen Sie sich den Bericht an

Scan abgeschlossen. Abschließend können wir den Bericht einsehen und entsprechende Reparaturmaßnahmen ergreifen.

1.2 Sicherheitsscan mit Clair

Clair ist ein Open-Source-Tool, das Docker-Images und -Container scannen kann, um darin Sicherheitslücken zu erkennen. Hier sind die Schritte, um Clair zum Scannen der Containersicherheit zu verwenden:

(1) Zuerst Clair installieren

docker pull quay.io/coreos/clair:latest

(2) Dann Clair starten

docker run -p 6060:6060 -d --name clair quay.io/coreos/clair:latest

(3) Als nächstes clairctl installieren

go get -u github.com/jgsqware/clairctl

(4) Dann verwenden clairctl scannt den Container

clairctl analyze -l CONTAINER_NAME

(5) Warten Sie, bis der Scan abgeschlossen ist, und sehen Sie sich den Bericht an

Nachdem der Scan abgeschlossen ist, können wir über den Browser auf Clairs Webseite zugreifen und den Bericht ansehen.

2. Container-Schwachstellenreparatur

Container-Schwachstellenreparatur bezieht sich auf die Reparatur vorhandener Sicherheitslücken im Container, um die Sicherheit des Containers zu gewährleisten. Die Reparatur von Container-Schwachstellen kann mit einigen Open-Source-Tools erfolgen.

2.1 Verwenden Sie Docker Security Scanning zur Reparatur von Schwachstellen

Docker Security Scanning ist ein offiziell von Docker bereitgestelltes Sicherheitsscan-Tool, das Sicherheitslücken in Docker-Images erkennen und Reparaturvorschläge bereitstellen kann. Im Folgenden sind die Schritte aufgeführt, um Docker Security Scanning zum Beheben von Container-Schwachstellen zu verwenden:

(1) Aktivieren Sie zunächst Docker Security Scanning.

Nachdem Sie ein Konto bei Docker Hub registriert haben, aktivieren Sie Docker Security Scanning im Sicherheitscenter.

(2) Laden Sie dann das Bild auf Docker Hub hoch

docker push DOCKERHUB_USERNAME/IMAGE_NAME:TAG

(3) Warten Sie, bis Docker Security Scanning den Scan abgeschlossen hat, und sehen Sie sich den Bericht an.

Melden Sie sich über den Browser bei Docker Hub an und sehen Sie sich den Docker Security Scanning-Scanbericht an um Reparaturvorschläge zu erhalten.

2.2 Verwenden Sie Clair zur Reparatur von Sicherheitslücken

Zusätzlich zum Scannen der Containersicherheit kann Clair auch zur Reparatur von Containerschwachstellen verwendet werden. Im Folgenden sind die Schritte aufgeführt, um Clair zum Reparieren von Container-Schwachstellen zu verwenden:

(1) Starten Sie zuerst Clair

docker run -p 6060:6060 -d --name clair quay.io/coreos/clair:latest

(2) Installieren Sie dann clairctl

go get -u github.com/jgsqware/clairctl

(3) Als nächstes verwenden Sie clairctl, um den Container zu scannen

clairctl analyze -l CONTAINER_NAME

( 4) Verwenden Sie abschließend clairctl, um Reparaturvorgänge durchzuführen

clairctl fix -l CONTAINER_NAME

Es ist zu beachten, dass Clair nur Reparaturvorschläge bereitstellen und Schwachstellen nicht automatisch reparieren kann, sodass der Reparaturvorgang manuell abgeschlossen werden muss.

Zusammenfassung

Container-Sicherheitsscans und Schwachstellenbehebung sind wichtige Glieder im Container-Sicherheitsmanagement. In diesem Artikel wird die Methode zum Scannen der Containersicherheit und zur Reparatur von Schwachstellen basierend auf zwei Open-Source-Tools, Docker Bench und Clair, vorgestellt und spezifische Codebeispiele bereitgestellt. Mit diesen Tools können wir potenzielle Sicherheitslücken in Containern zeitnah entdecken und beheben und so die Sicherheit von Containern gewährleisten.

Das obige ist der detaillierte Inhalt vonSo verwenden Sie Docker zum Scannen der Containersicherheit und zur Reparatur von Schwachstellen. Für weitere Informationen folgen Sie bitte anderen verwandten Artikeln auf der PHP chinesischen Website!