专注于Docker、Container等技术的交流和分享
挖掘最有价值的资讯动态、教程、国内外优秀资源

你的Docker环境安全吗?

我们在日常使用docker的时候,并不清楚我们的环境是否安全,是否存在问题,今天给大家推荐一款docker环境扫描工具 - docker-bench-security. 他是一款开源的扫描工具,官方地址是:https://github.com/docker/docker-bench-security,通过运行容器,可以快速和系统的监测你的docker环境是否安全。

下面是一个运行的例子:



从上可以看出,该容器在主机配置和引擎配置两个方面进行了检查,可以说是非常全面的。Docker Bench Security是一个脚本,通过大量的best-pratice检查你的环境是否可以用于产品环境。


运行docker-bench-secrury


该项目是将扫描过程全部打包进一个小的容器,由于需要检查外部的docker运行环境,所以需要一系列特权,比如:主机的文件系统, PID,网络,systemd等。最简单的运行方式就是运行已经生成好的容器:


docker run -it –net host –pid host –cap-add audit_control \

    -v /var/lib:/var/lib \

    -v /var/run/docker.sock:/var/run/docker.sock \

    -v /usr/lib/systemd:/usr/lib/systemd \

    -v /etc:/etc –label docker_bench_security \

    docker/docker-bench-security


为了能运行这个容器,docker版本至少需要是1.10以后的版本,同时这个镜像是基于alpine的,然后通过Dockerfile进行封装。


如何获取最新版本,并编译镜像


官方镜像有时不一定是最新的,如果需要获得最新的版本,通过下面的方式:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker build -t docker-bench-security .

docker run -it –net host –pid host –cap-add audit_control \

    -v /var/lib:/var/lib \

    -v /var/run/docker.sock:/var/run/docker.sock \

    -v /usr/lib/systemd:/usr/lib/systemd \

    -v /etc:/etc –label docker_bench_security \

    docker-bench-security


或者使用docker-compose:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

docker-compose run –rm docker-bench-security


再或者直接在主机上使用原始脚本:


git clone https://github.com/docker/docker-bench-security.git

cd docker-bench-security

sh docker-bench-security.sh


本项目的脚本是兼容POSIX 2004的,因此在所有的*nix系统下都是可用的。好了到这儿就基本介绍完毕了,你的docker环境扫描了吗?


了解更多Docker容器技术,可关注微信公众号“精灵云”或“godocker”

文章转自CSDN,点击查看原文

鲸鱼云公众号:dockercloud

鲸鱼云公众号

转载请加上原文链接和本文链接:鲸鱼云 » 你的Docker环境安全吗?

分享到:更多 ()

评论 抢沙发

评论前必须登录!