簡介
Docker Bench for Security檢查關於在生產環境中部署Docker容器的幾十個常見最佳實踐。這些測試都是自動化的,其靈感來自CIS Docker基准1.2.0版。
這種安全掃描類似於安全基線檢查,對相應的項進行逐條核查,可以有效地規避一些安全風險。
用法一
docker-bench-security有多種安裝方式,同時也提供容器的使用方式,這樣使用將更為方便,具體請參考。
需預裝Docker 1.13.0+版本和Docker-Compose。
# git clone https://github.com/docker/docker-bench-security.git # cd docker-bench-security # docker-compose run --rm docker-bench-security
【注】貌似在國內網絡環境,在連接一些站點時會有問題,上述安裝是在VPS上進行的。
用法二[推薦]
上面的方法最大的問題就是存在下載失敗的情況,項目根目錄下存在檢測腳本,直接執行即可。
# cd docker-bench-security
# sudo sh docker-bench-security.sh <<= 直接執行腳本即可
使用
上述三步安裝過程的最后一步,docker-compose run --rm docker-bench-security即會對系統中存在的Docker images進行檢測,具體如下圖所示。
其中標紅【WARN】是需要改進的,標綠【PASS】表示通過檢測,【INFO】項的話,看需要是否進行調整。
從檢測結果上來看,docker-bench-security對容器的檢測項較少,對Docker的一些基礎配置項檢測較為詳細,可以配合其他工具進行使用,如Clair。
