我是研二的学生,方向是docker安全。在csdn了解到飞天计划
使用ecs做了docker的入门实验。docker是容器,简单理解为操作系统加应用。
1.Docker安全性
启用AppArmor,SELinux,GRSEC或其他适当的强化系统来增加安全性
2.TLS
如果您需要通过网络以安全的方式访问Docker,您可以通过指定这个TLSVerify标志并将Docker的tlscacert标志指向一个受信任的CA证书来启用TLS。
3.启用Selinux保护docker
复现一个docker攻击。非root用户创建一个docker获取了root权限。
docker进程默认不启用selinux,这很不安全。
mcalizo 创建的docker获取了root权限
Docker 主机的 / 目录挂载到 /exploit 目录下的容器:
因为它已被挂载,可以在 Docker 主机上做任何事情。例如,以删除文件、编辑特定的配置来破害系统,安装木马程序或其他恶意软件来窃取重要信息。
4.边读书边实践《docker 从入门到实践》
1.利用commit 理解镜像构成
用commit定制镜像。手动操作给旧的镜像添加了新的一层,形成新的镜像
使用docker commit命令虽然可以比较直观的帮助理解镜像分层存储的概念,但是实际环境中并不会使用。使用docker commit意味着所有对镜像的操作都是黑箱操作
2.Dockerfile 定制镜像
5.建dockers私有仓库
6.安装busybox操作系统
7.阅读docker 安全探索实践
8.安装trivy 扫描漏洞
Trivy是一个用于CI的简单而全面的容器漏洞扫描器。软件漏洞是指软件或操作系统中的错误、缺陷或弱点。Trivy检测操作系统包(Alpine, RHEL, CentOS等)和应用程序依赖(Bundler, Composer, NPM, YARN等)中的漏洞。Trivy很容易使用,只需安装二进制文件并扫描它们。仅通过指定容器的镜像名称进行扫描。与Clair、Anchore Engine和Quay等其他图像扫描工具相比,Trivy在准确性、便捷性和CI支持方面具有明显的优势。
9.阅读CIS Docker Benchmark
CIS (Internet Security Center for Internet Security, CIS)为安全基准测试计划提供定义良好的、公正的、基于一致性的行业最佳实践,以帮助组织评估和增强其安全性。Docker Bench for Security是一个开源脚本。它基于CIS Docker Benchmark V1.3.1规范,用于自动检查在生产环境中运行Docker容器的数十种常见最佳实践。
非常感谢阿里云。平台免费给予大学生研究生一个方便的实验平台。以后也会选择阿里云的付费服务器。
