[[421322]]

本文轉載自微信公眾號「云原生生態(tài)圈」，作者Marionxue。轉載本文請聯(lián)系云原生生態(tài)圈公眾號。

1CIS是什么?

CIS[1]即Center for Internet Security (CIS) 為安全基準計劃提供了定義明確、公正、基于一致性的行業(yè)最佳實踐來幫助組織評估和增強其安全性

2Docker Bench Security

Docker Bench for Security[2]是一個開源的腳本。它是基于CIS Docker Benchmark v1.3.1[3]規(guī)范的，用于自動化巡檢在生產環(huán)境中運行Docker容器的數(shù)十種常見的最佳實踐的腳本。

通過調用tests目錄的以下腳本進行巡檢, 具體的巡檢的內容可以參考的腳本的內容。

1_host_configuration.sh 
2_docker_daemon_configuration.sh 
3_docker_daemon_configuration_files.sh 
4_container_images.sh 
5_container_runtime.sh 
6_docker_security_operations.sh 
7_docker_swarm_configuration.sh 
8_docker_enterprise_configuration.sh 
99_community_checks.sh 

在docker-bench-security中可以通過修改functions中的腳本選擇檢查的項，也可以通過命令行選項排除不需要檢查的項，下面看下支持的命令行選項.

3命令選項

docker-bench-security

-b       可選   Do not print colors 不打印顏色 
-h     可選   Print this help message 打印幫助信息 
-l FILE  可選   Log output in FILE, inside container if run using docker 日志輸出文件，如果使用docker運行，在容器內部 
-u USERS 可選   Comma delimited list of trusted docker user(s) 以逗號分隔的受信任docker用戶列表 
-c CHECK 可選   Comma delimited list of specific check(s) id 以逗號分隔的指定檢查id列表 
-e CHECK 可選   Comma delimited list of specific check(s) id to exclude 要排除的以逗號分隔的檢查id列表 
-i INCLUDE 可選 Comma delimited list of patterns within a container or image name to check 以逗號分隔的容器或圖像名稱中的模式列表 
-x EXCLUDE 可選 Comma delimited list of patterns within a container or image name to exclude from check 容器或圖像名稱中要排除的以逗號分隔的模式列表 
-n LIMIT   可選 In JSON output, when reporting lists of items (containers, images, etc.), limit the number of reported items to LIMIT. Default 0 (no limit). 
 在JSON輸出中，當報告項目列表(容器，圖像等)時，限制報告項目的數(shù)量為LIMIT。默認0(無限制)。 
-p PRINT   可選 Disable the printing of remediation measures. Default: print remediation measures. 禁用打印補救措施。默認值:打印補救措施。 

每個CIS巡檢項在腳本中是以check_<section>_<number>格式命名的. 如果要排除某項檢查可以使用

sh docker-bench-security.sh -e check_2_2 # 表示檢查所有，除了check_2_2(2.2 Ensure the logging level is set to 'info') 

sh docker-bench-security.sh -c check_2_2 

git clone https://github.com/docker/docker-bench-security.git 
cd docker-bench-security 
docker build --no-cache -t docker-bench-security . 

docker run --rm --net host --pid host --userns host --cap-add audit_control \ 
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \ 
    -v /var/lib:/var/lib:ro \ 
    -v /var/run/docker.sock:/var/run/docker.sock:ro \ 
    -v `pwd`:/usr/local/bin/log/ \ 
    --label docker_bench_security \ 
    docker/docker-bench-security -t devops.v1 
# ------------------------------------------------------------------------------ 
# Docker Bench for Security v1.3.4 
# 
# Docker, Inc. (c) 2015- 
# 
# Checks for dozens of common best-practices around deploying Docker containers in production. 
# Inspired by the CIS Docker Community Edition Benchmark v1.1.0. 
# ------------------------------------------------------------------------------ 
 
Initializing Thu Sep  2 04:55:59 UTC 2021 
 
Looking for image devops.v1 
 
[INFO] 1 - Host Configuration 
[WARN] 1.1  - Ensure a separate partition for containers has been created 
[NOTE] 1.2  - Ensure the container host has been Hardened 
....[省略省略過多內容] 
[PASS] 7.10  - Ensure management plane traffic has been separated from data plane traffic (Swarm mode not enabled) 
 
[INFO] Checks: 105 
[INFO] Score: 7