docker/docker-bench-security

Docker Bench for Security

注意：此镜像已不再在Docker Hub上维护。 请访问 https://github.com/docker/docker-bench-security 获取最新镜像。

!https://raw.githubusercontent.com/docker/docker-bench-security/master/benchmark_log.png "Docker Bench for Security运行截图"

镜像概述和主要用途

Docker Bench for Security是一个脚本工具，用于检查数十项关于在生产环境中部署Docker容器的常见最佳实践。所有测试均为自动化执行，其灵感来源于CIS Docker Community Edition Benchmark v1.1.0标准。该工具作为Understanding Docker Security and Best Practices博客文章的后续内容发布。

本工具以开源形式提供，使Docker社区能够轻松地根据此基准对其主机和Docker容器进行自我评估。

核心功能和特性

• 基于CIS Docker社区版基准测试标准v1.1.0
• 自动化执行数十项Docker安全最佳实践检查
• 支持通过命令行参数自定义检查范围
• 可生成详细的检查日志和报告
• 支持容器化部署，便于快速使用
• 提供多种输出格式和过滤选项

使用场景和适用范围

• Docker主机安全配置评估
• 容器部署安全最佳实践检查
• 生产环境Docker安全合规性审计
• DevOps流程中的安全检查环节
• Docker安全意识培训和教育

详细的使用方法和配置说明

系统要求

• Docker 1.13.0或更高版本

基本使用方法

最简单的使用方式是运行预构建的容器镜像。注意，由于需要对主机进行安全检查，容器需要以较高权限运行，包括共享主机的文件系统、PID和网络命名空间。

bash
docker run -it --net host --pid host --userns host --cap-add audit_control \
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker/docker-bench-security

注意：对于不含auditctl的发行版，审计测试将通过检查/etc/audit/audit.rules文件来验证规则是否存在。解决此问题的特定发行版Dockerfile可在https://github.com/docker/docker-bench-security/tree/master/distros%E4%B8%AD%E6%89%BE%E5%88%B0%E3%80%82

命令行选项

Docker Bench for Security提供以下命令行选项：

  -b           可选    不打印彩色输出
  -h           可选    打印帮助信息
  -l FILE      可选    将输出记录到指定文件
  -c CHECK     可选    以逗号分隔的特定检查项列表
  -e CHECK     可选    以逗号分隔的要排除的特定检查项列表
  -i INCLUDE   可选    以逗号分隔的容器名称中要检查的模式列表
  -x EXCLUDE   可选    以逗号分隔的要从检查中排除的容器名称模式列表
  -t TARGET    可选    以逗号分隔的要检查的镜像名称列表

默认情况下，Docker Bench for Security脚本将运行所有可用的CIS测试，并在当前目录中生成名为docker-bench-security.sh.log.json和docker-bench-security.sh.log的日志文件。

基于CIS的检查命名为check_<section>_<number>，例如check_2_6，社区贡献的检查命名为check_c_<number>。完整的检查列表可在functions_lib.sh中找到。

使用示例

仅运行检查2.2 确保日志级别设置为'info'：

bash
sh docker-bench-security.sh -l /tmp/docker-bench-security.sh.log -c check_2_2

运行所有可用检查，但排除2.2 确保日志级别设置为'info'：

bash
sh docker-bench-security.sh -l /tmp/docker-bench-security.sh.log -e check_2_2

构建和运行本地镜像

如果需要自行构建和运行容器，可以按照以下步骤操作：

bash
git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker build --no-cache -t docker-bench-security .
docker run -it --net host --pid host --userns host --cap-add audit_control \
    -e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
    -v /var/lib:/var/lib \
    -v /var/run/docker.sock:/var/run/docker.sock \
    -v /usr/lib/systemd:/usr/lib/systemd \
    -v /etc:/etc --label docker_bench_security \
    docker-bench-security

使用Docker Compose

bash
git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker-compose run --rm docker-bench-security

在主机上直接运行脚本

也可以直接在基础主机上运行脚本：

bash
git clone https://github.com/docker/docker-bench-security.git
cd docker-bench-security
sudo sh docker-bench-security.sh

该脚本符合POSIX 2004标准，因此应可在任何Unix平台上移植使用。

环境变量

• DOCKER_CONTENT_TRUST: 传递Docker内容信任设置，用于检查镜像签名验证配置

卷挂载说明

为执行全面的安全检查，容器需要挂载以下主机目录：

• /var/lib: Docker数据目录
• /var/run/docker.sock: Docker守护进程套接字
• /usr/lib/systemd: systemd配置目录（根据操作系统调整）
• /etc: 系统配置目录

发行版特定注意事项

对于未包含Docker 1.13.0或更高版本的发行版，或有特定系统配置的环境，可以使用https://github.com/docker/docker-bench-security/tree/master/distros%E6%9D%A5%E8%A7%A3%E5%86%B3%E5%85%BC%E5%AE%B9%E6%80%A7%E9%97%AE%E9%A2%98%E3%80%82