为什么需要扫描
Docker 提供了 docker hub 可以让用户上传创建的镜像,以便其他用户下载,快速搭建环境。但同时也带来了一些安全问题。下载的镜像被恶意植入后门,传输的过程中镜像被篡改, 镜像所搭建的环境是否本身就包含漏洞等等,不一而足。主要介绍下面三种:
- 黑客上传恶意镜像:如果有黑客在制作的镜像中植入木马,后门等恶意软件,那么环境从一开始就已经不安全了,后续更没有什么安全可言
- 镜像使用有漏洞的软件:据一些报告显示,hub 上能下载的镜像里面,75% 的镜像都安装了有漏洞的软件,所以下载镜像后,需要检查里面软件的版本信息,对应的版本是否存在漏洞,并及时更新打上补丁
- 中间人攻击篡改镜像:镜像在传输过程中可能被篡改,目前新版本的 docker 已经提供了相应的校验机制来预防这个问题
如何扫描
1.获取clair-scanner漏洞扫描工具
curl -L https://github.com/arminc/clair-scanner/releases/download/v12/clair-scanner_linux_amd64 -o /usr/bin/clair-scanner
chmod +x /usr/bin/clair-scanner2.启动 Clair
docker run -p 5432:5432 -d --name db arminc/clair-db:latest
docker run -p 6060:6060 --link db:postgres -d --name clair arminc/clair-local-scan:latest3.测试扫描php:7.2镜像
docker pull php:7.2
clair-scanner -r php-report.json --ip 172.17.0.1 php:7.2
发表评论 取消回复