自拍偷在线精品自拍偷,亚洲欧美中文日韩v在线观看不卡

如何使用Docker Bench for Security審查部署的容器?

譯文
作者:布加迪
開發(fā) 前端
Docker Bench for Security是一種簡單的方法,用于檢查生產(chǎn)環(huán)境中部署的Docker方面的常見實(shí)踐。本文介紹了如何使用該工具。

[[393437]]

【51CTO.com快譯】容器部署方面的最大問題之一是安全。這之所以是個(gè)問題,是由于要檢查的可變因素太多。您的容器清單文件可能很安全,可是主機(jī)呢?也許您的主機(jī)很安全,但YAML文件充斥著安全漏洞。

該如何是好?您可以花數(shù)小時(shí)乃至數(shù)天梳理所有內(nèi)容以確保那些部署安全,也可以使用現(xiàn)成的工具。Docker Bench for Security這個(gè)預(yù)構(gòu)建的容器就是這樣一款工具,它在審查容器主機(jī)和目前運(yùn)行的部署方面做得很好。不像許多此類工具,Docker Bench for Security非常易于使用。

Docker Bench for Security審查以下內(nèi)容:

  • 常規(guī)配置
  • Linux主機(jī)特定配置
  • Docker守護(hù)程序配置
  • Docker守護(hù)程序配置文件
  • 容器映像和構(gòu)建文件
  • 容器運(yùn)行時(shí)環(huán)境
  • Docker安全運(yùn)營
  • Docker Swarm配置
  • Docker企業(yè)配置
  • Docker可信注冊中心配置

下面介紹如何完成此操作。

您需要什么?

您只需要在服務(wù)器上運(yùn)行的Docker實(shí)例以及與可運(yùn)行Docker命令的docker組關(guān)聯(lián)的用戶。

我將在Ubuntu Server 20.04上進(jìn)行演示,但該工具可以在支持Docker的任何平臺(tái)上運(yùn)行。

如何獲得Docker Bench?

我們首先要做的是從GitHub克隆該工具。如果您尚未安裝git,使用以下命令來安裝:

  1. sudo apt-get install git -y 

使用以下命令克隆Docker Bench:

  1. git clone https://github.com/docker/docker-bench-security.git 

使用以下命令切換到新創(chuàng)建的目錄:

  1. cd docker-bench-security 

如何配置Docker守護(hù)程序?

在運(yùn)行審查之前,我們需要?jiǎng)?chuàng)建一個(gè)Docker守護(hù)程序配置文件。使用以下命令創(chuàng)建該文件:

  1. sudo nano /etc/docker/daemon.json 

在該文件中,粘貼以下內(nèi)容:

  2.  "icc"false
  3. "userns-remap""default"
  4.  "live-restore"true
  5. "userland-proxy"false
  6. "no-new-privileges"true 

保存并關(guān)閉文件。

如何安裝和配置auditd?

現(xiàn)在,我們需要使用以下命令安裝auditd:

  1. sudo apt-get install auditd -y 

安裝完成后,使用以下命令打開auditd規(guī)則文件:

  1. sudo nano /etc/audit/audit.rules 

在文件底部,粘貼以下內(nèi)容:

  1. -w / usr / bin / docker -p wa 
  2. -w / var / lib / docker -p wa 
  3. -w / etc / docker -p wa 
  4. -w /lib/systemd/system/docker.service -p wa 
  5. -w /lib/systemd/system/docker.socket -p wa 
  6. -w / etc / default / docker -p wa 
  7. -w /etc/docker/daemon.json -p wa 
  8. -w / usr / bin / docker-containerd -p wa 
  9. -w / usr / bin / docker-runc -p wa 

保存并關(guān)閉文件。

使用以下命令重新啟動(dòng)auditd:

  1. sudo systemctl restart auditd 

最后,使用以下命令重新啟動(dòng)Docker守護(hù)程序:

  1. sudo systemctl restart docker 

如何運(yùn)行審查?

在docker-bench-security目錄中時(shí),使用以下命令啟動(dòng)審查:

  1. ./docker-bench-security.sh 

上述命令將運(yùn)行審查,并開始列出以下任何一項(xiàng)的詳細(xì)信息:

  • 通過(PASS)
  • 信息(INFO)
  • 說明(NOTE)
  • 警告(WARN)

審查完成后,您得梳理輸出結(jié)果,至少要處理被列為“警告”的所有內(nèi)容(見圖A)。您甚至可能需要處理一些“信息”或“說明”消息。

圖A. Docker Bench的輸出結(jié)果清楚地表明了需要修復(fù)的內(nèi)容

您得到的輸出結(jié)果將取決于已部署的主機(jī)和容器的配置。然而,您的目標(biāo)應(yīng)該是至少修復(fù)每條警告。解決這些問題后,確保重新運(yùn)行審查,直至不再看到任何“警告”標(biāo)簽列出來。

這就是使用Docker Bench for Security審查主機(jī)和容器的全過程。

原文標(biāo)題:How to use Docker Bench for Security to audit your container deployments,作者:Jack Wallen

【51CTO譯稿,合作站點(diǎn)轉(zhuǎn)載請注明原文譯者和出處為51CTO.com】

責(zé)任編輯:華軒 來源: 51CTO
容器Docker工具
相關(guān)推薦

2019-07-01 09:33:58

DockerNginx操作系統(tǒng)

2020-01-02 10:44:22

運(yùn)維架構(gòu)技術(shù)

2022-07-29 15:19:27

Dockersudo權(quán)限

2023-06-16 16:06:02

lazydockerDocker容器

2016-12-01 13:37:42

OpenStack MDocker Swar容器

2017-05-23 15:53:52

docker服務(wù)容器

2020-08-28 13:27:25

Docker Node應(yīng)用

2015-08-03 16:15:53

Docker部署集群

2023-09-26 07:34:24

Docker部署依賴包

2016-10-08 15:42:02

ElasticsearcAdvisorDocke

2019-12-05 10:40:41

DockerMySQL數(shù)據(jù)庫

2022-10-08 00:00:02

Docker項(xiàng)目技術(shù)

2023-08-08 10:23:34

2021-10-13 08:53:09

Docker Django 容器

2021-05-11 08:00:00

Docker容器開發(fā)

2023-08-29 15:17:40

Docker容器架構(gòu)

2018-03-09 10:07:34

mysql

2022-05-06 07:20:38

Docker容器鏡像

2024-03-04 00:05:00

人工智能LLM 評估

2021-10-26 07:24:10

Gorsair容器安全工具
點(diǎn)贊
收藏

51CTO技術(shù)棧公眾號(hào)