【.com快译】容器部署最关心的问题之一就是安全。这是一个问题,因为要检查的变量太多了。您的容器清单文件可能是安全的,但是主机呢?也许您的主机是安全的,但YAML文件充满了安全漏洞。该怎么办?您可以花费数小时甚至数天的时间来梳理所有内容以保护这些部署,或者您可以使用现成的工具。一个这样的工具是DockerBenchforSecurity,这是一个预构建的容器,可以很好地审计容器主机和当前正在运行的部署。与许多此类工具不同,DockerBenchforSecurity非常易于使用。DockerBenchforSecurity评论如下:一般配置Linux主机特定配置Docker守护进程配置Docker守护进程配置文件容器镜像和构建文件容器运行时环境Docker安全操作DockerSwarm配置Docker企业配置Docker可信注册表配置以下是如何完成的。你需要什么?您只需要一个在您的服务器上运行的Docker实例和一个与可以运行Docker命令的docker组相关联的用户。我将在UbuntuServer20.04上进行演示,但该工具可以在任何支持Docker的平台上运行。我如何获得Docker工作台?我们做的第一件事是从GitHub克隆该工具。如果您没有安装git,请使用以下命令安装:sudoapt-getinstallgit-y使用以下命令克隆DockerBench:gitclonehttps://github.com/docker/docker-bench-security.git使用以下命令进入新创建的目录:cddocker-bench-security如何配置Docker守护进程?在运行审计之前,我们需要创建一个Docker守护进程配置文件。使用以下命令创建此文件:sudonano/etc/docker/daemon.json在此文件中,粘贴以下内容:{"icc":false,"userns-remap":"default","live-restore":true,"userland-proxy":false,"no-new-privileges":true}保存并关闭文件。如何安装和配置auditd?现在,我们需要使用以下命令安装auditd:sudoapt-getinstallauditd-y安装后,使用以下命令打开auditd规则文件:sudonano/etc/audit/audit.rules在文件底部,粘贴以下内容:-w/usr/bin/docker-pwa-w/var/lib/docker-pwa-w/etc/docker-pwa-w/lib/systemd/system/docker.service-pwa-w/lib/systemd/system/docker.socket-pwa-w/etc/default/docker-pwa-w/etc/docker/daemon.json-pwa-w/usr/bin/docker-containerd-pwa-w/usr/bin/docker-runc-pwa保存并关闭文件。使用以下命令重新启动auditd:sudosystemctlrestartauditd最后,使用以下命令重新启动Docker守护进程:sudosystemctlrestartdocker如何运行审计?在docker-bench-security目录中时,使用以下命令启动审计:./docker-bench-security.sh该命令将运行审查并开始列出以下任何一项的详细信息:通过(PASS)INFONOTE(NOTE)WARNING(WARN)WARNING”(参见图A)。您甚至可能不得不处理一些“信息”或“描述”消息。图A.DockerBench输出清楚地显示了需要修复的内容。您获得的输出将取决于部署的主机和容器配置。但是,您的目标应该是至少修复每个警告。解决这些问题后,请确保重新运行审查,直到您不再看到任何列出的“警告”标签。这就是使用DockerBenchforSecurity审核主机和容器的全部内容。原标题:HowtouseDockerBenchforSecuritytoaudityourcontainerdeployments,作者:JackWallen
