🐝 Как отсканировать ваш выпуск Docker с помощью docker-bench-test — Information Security Squad

🐝 Как отсканировать ваш выпуск Docker с помощью docker-bench-test

Узнайте, насколько уязвимо ваше развертывание Docker, запустив этот удобный скрипт.

Если вы администратор Docker, вы можете потратить много времени на то, чтобы убедиться, что развертывание Docker правильно установлено и настроено.

Вы можете сделать это вручную, но это потребует значительных усилий.

К счастью, имеется скрипт, который позволяет вам запускать обширные тесты вашей установки Docker.

Этот скрипт называется docker-bench-test и выполняет невероятное количество тестов.

На самом деле, сканы настолько тщательны, что результаты вашего теста потребуют значительного времени для оценки.

К счастью, установка docker-bench-test не займет много времени.

Давайте запустим этот тест.

Я продемонстрирую его работу на Ubuntu Server 18.04 и предположу, что Docker уже запущен и работает.

Установка зависимостей

Первое, что нужно сделать, это установить необходимые зависимости.

Поскольку docker-bench-test запускает тестирование bats (bash automated testing system), вам нужно установить пакет bats.

Для этого выполните следующие действия:

  • Откройте терминал (или войдите на свой сервер Ubuntu).
    Добавьте репозиторий с помощью команды sudo add-apt-repository ppa:duggan/bats.
  • Обновите apt с помощью команды sudo apt-get update.
  • Установите bats с помощью команды sudo apt-get install bats -y.

Вам также понадобится установить git, что можно сделать с помощью команды:

sudo apt-get install git

После завершения установки bats и git вы готовы продолжить работу.

Загрузка и использование docker-bench-test

Docker-bench-test поставляется в форме скрипта.

Чтобы скачать скрипт, вам нужно проверить последнюю версию с помощью команды:

git clone https://github.com/gaia-adm/docker-bench-test.git

После извлечения инструмента перейдите во вновь созданный каталог с помощью команды:

cd docker-bench-test

Пришло время запустить скрипт.

Поскольку скрипт необходим для доступа к определенным привилегированным каталогам, он должен запускаться с помощью sudo.

Мы введем команду, чтобы она отображала результаты в формате TAP.

По умолчанию результаты будут записываться в каталог /var/docker-bench-test/results и будут помечены временем для каждого запуска теста.

Эта команда выглядит так:

sudo ./docker-bench-test.sh  -t

Тесты займут некоторое время до своего завершения.

Когда они закончат свою работу, вы можете просмотреть файл с помощью команды:

less /var/docker-bench-test/results/tests_XXX.tap

Где XXX — метка времени.

Результаты дадут вам множество информации.

Просматривайте файл построчно, и вы увидите несколько очень правильных битов, которые помогут вам улучшить развертывание Docker

Created with GIMP

Если вы обнаружите, что результаты тестов не выводятся в каталог по умолчанию, лучше всего просто отправить их напрямую в файл с помощью команды, подобной следующей:

sudo ./docker-bench-test.sh -t > docker-test-results

Затем вы можете просмотреть результаты с помощью команды:

less docker-test-results

Некоторые из результатов должны быть легко исправлены (например, убедиться, что у вас есть доверенные пользователи, которые могут запустить демон Docker), в то время как другие могут быть немного более сложными для решения (например, проблемы доверия к контенту).

Я предлагаю немедленно позаботиться о каждом быстром исправлении.

Как только вы решите все простые проблемы, вернитесь к более сложным вопросам.

Потратьте свое время, но просмотрите результаты этого теста.

Вы будете удивлены тем, сколько полезной информации вы найдете относительно вашей установки Docker.

Минуты или часы, которые вы тратите, определенно стоят времени, учитывая информацию, которую можно почерпнуть.

 

cryptoparty

Cryptography is typically bypassed, not penetrated.

Добавить комментарий

Ваш e-mail не будет опубликован. Обязательные поля помечены *

5e7fa976b0640d40