sslyze Docker镜像文档

镜像概述

sslyze Docker镜像是基于sslyze项目的容器化实现，sslyze是一款快速、强大的SSL/TLS扫描工具库，可深度检测服务器SSL/TLS配置安全性。该镜像封装了sslyze的核心功能，提供便捷的容器化部署方式，适用于安全审计、服务器配置验证及漏洞评估场景，帮助用户快速识别SSL/TLS协议漏洞、弱密码套件及证书问题。

核心功能与特性

• 全面协议支持：兼容TLS 1.0至TLS 1.3及SSLv2/SSLv3（用于遗留系统检测），自动识别服务器支持的最佳协议版本。
• 漏洞检测：内置对常见SSL/TLS漏洞的检测，包括Heartbleed、POODLE、CCS注入、ROBOT、DROWN等。
• 证书分析：验证证书有效性、检查证书链完整性、检测过期证书及域名不匹配问题，支持EV/OV证书识别。
• 密码套件评估：分析服务器支持的密码套件强度，标记弱加密算法（如DES、MD5）及不安全密钥交换（如RSA密钥过小）。
• 多输出格式：支持JSON、XML、CSV及控制台友好格式，便于自动化集成与报告生成。
• 高性能扫描：支持并发扫描与连接复用，大幅提升批量检测效率。

使用场景

• 安全审计：定期扫描服务器SSL/TLS配置，排查潜在安全风险。
• 合规性验证：满足PCI DSS、HIPAA等合规标准对SSL/TLS安全的要求。
• 服务器部署验证：新服务器上线前验证SSL/TLS配置是否符合安全基线。
• 漏洞响应：在漏洞披露后（如新型TLS漏洞），快速批量检测受影响服务器。

使用方法

基本用法

通过docker run命令直接运行镜像，扫描目标服务器：

docker run --rm nabla/sslyze example.com

说明：--rm 确保容器退出后自动删除，nabla/sslyze 为镜像名称（假设官方或社区标准镜像名），example.com 为目标域名或IP。

指定端口与协议

扫描非默认端口（如443外的端口）或强制使用特定协议：

# 扫描端口8443
docker run --rm nabla/sslyze example.com:8443

# 仅检测TLS 1.3
docker run --rm nabla/sslyze example.com --tlsv1_3

输出结果到文件

将扫描结果保存为JSON（便于自动化解析）或文本文件：

# 输出JSON至当前目录的result.json
docker run --rm -v $(pwd):/output nabla/sslyze example.com --json-output /output/result.json

# 输出文本报告至result.txt
docker run --rm -v $(pwd):/output nabla/sslyze example.com > result.txt

说明：-v $(pwd):/output 将本地当前目录挂载到容器内的/output目录，实现文件持久化。

高级漏洞检测

检测特定漏洞（如Heartbleed、POODLE）或启用完整扫描模式：

# 检测Heartbleed漏洞
docker run --rm nabla/sslyze example.com --heartbleed

# 完整扫描（包含所有检测项）
docker run --rm nabla/sslyze example.com --full-scan

常用配置参数

示例：完整安全扫描与报告

扫描example.com，检测漏洞、验证证书链，并输出JSON和文本报告：

# 生成JSON报告
docker run --rm -v $(pwd):/output nabla/sslyze example.com --vuln --certinfo --json-output /output/scan.json

# 同时输出控制台友好文本报告
docker run --rm nabla/sslyze example.com --vuln --certinfo > scan_report.txt

查看JSON报告可使用工具解析（如jq）：jq . scan.json，文本报告可直接查看关键安全问题（如"[!] Vulnerable to Heartbleed"）。