热门搜索:
qualys/runtime-sensor
qualys
Qualys runtime-sensor是一款运行时安全监控工具,用于实时监控容器和主机的运行时行为,检测威胁、异常活动及安全漏洞,提供持续安全防护。
1 次收藏下载次数: 0状态:社区镜像维护者:qualys仓库类型:镜像最近更新:17 天前
Qualys runtime-sensor 镜像文档
镜像概述
Qualys runtime-sensor是Qualys提供的运行时安全传感器,旨在实时监控容器、主机及云环境的运行时行为,通过检测威胁、异常活动和安全漏洞,为容器化应用和基础设施提供持续安全防护。该镜像可无缝集成到容器环境、Kubernetes集群及云服务器中,帮助用户及时发现并响应安全风险。
核心功能与特性
实时运行时监控
- 监控容器生命周期(启动、停止、资源使用)、主机进程活动及网络连接
- 跟踪文件系统变更(文件创建、删除、权限修改)和系统调用行为
- 支持Docker、containerd等主流容器运行时环境
威胁检测与响应
- 基于 signatures 和机器学习模型识别行为(如进程、入侵尝试、勒索软件活动)
- 检测异常行为(如非基线进程启动、异常网络连接、权限提升尝试)
- 实时告警与事件上报,支持与SIEM平台集成
漏洞与合规检查
- 扫描运行时环境中的已知漏洞(CVE)及配置合规性问题
- 支持对容器镜像、主机系统及应用依赖的漏洞检测
- 生成合规性报告,满足PCI-DSS、HIPAA等合规要求
安全漏洞扫描
- 定期扫描运行时环境中的软件包漏洞(CVE)
- 关联Qualys漏洞数据库,提供漏洞详情及修复建议
- 支持自定义扫描策略(扫描频率、漏洞严重级别阈值)
集成与管理
- 与Qualys Cloud Platform无缝集成,统一管理安全事件和资产
- 提供REST API接口,支持自动化部署和配置
- 轻量级设计,低资源占用(CPU < 5%,内存 < 256MB)
使用场景
容器化应用环境
- Docker/containerd单机容器环境的运行时安全监控
- Kubernetes集群中Pod及节点的运行时行为审计
云与混合IT环境
- 公有云(AWS、Azure、GCP)及私有云服务器的运行时防护
- 混合IT架构下的跨环境统一安全监控
DevSecOps流程
- 集成到CI/CD流水线,在应用部署后自动启用运行时监控
- 为开发和运维团队提供实时安全反馈,缩短漏洞修复周期
使用方法与配置说明
前提条件
- 拥有Qualys账户及有效的API凭证(API Key/Secret)
- 目标环境已安装Docker 19.03+或兼容的容器运行时
- 网络可访问Qualys服务器(默认端口443)
- 容器运行用户需具备适当权限(如访问Docker套接字、挂载主机目录)
快速部署(Docker Run)
bashdocker run -d \ --name qualys-runtime-sensor \ --restart always \ --privileged \ -e QUALYS_SERVER=qualysapi.qualys.com \ -e QUALYS_API_KEY=<your-qualys-api-key> \ -e QUALYS_API_SECRET=<your-qualys-api-secret> \ -v /var/run/docker.sock:/var/run/docker.sock \ -v /:/hostroot:ro \ -v /var/log:/var/log:ro \ qualys/runtime-sensor:latest
环境变量配置
| 环境变量 | 描述 | 是否必填 | 默认值 |
|---|---|---|---|
QUALYS_SERVER | Qualys后端服务器地址(如qualysapi.qualys.com或私有部署地址) | 是 | - |
QUALYS_API_KEY | Qualys账户API访问密钥 | 是 | - |
QUALYS_API_SECRET | Qualys账户API密钥 | 是 | - |
LOG_LEVEL | 日志级别(DEBUG/INFO/WARN/ERROR) | 否 | INFO |
SCAN_INTERVAL | 安全扫描间隔(秒) | 否 | 300 |
HOST_MONITORING | 是否启用主机监控(true/false) | 否 | true |
CONTAINER_MONITORING | 是否启用容器监控(true/false) | 否 | true |
NETWORK_MONITORING | 是否启用网络流量监控(true/false) | 否 | true |
挂载卷说明
| 挂载路径 | 用途 | 权限 | 必要性 |
|---|---|---|---|
/var/run/docker.sock | 访问Docker守护进程,监控容器活动 | 读写 | 容器环境必需 |
/hostroot | 只读挂载主机根目录,用于主机文件系统和进程监控 | 只读 | 主机监控必需 |
/var/log | 读取系统日志用于行为分析 | 只读 | 可选 |
/etc/qualys | 挂载自定义配置文件(如传感器策略) | 读写 | 可选 |
部署验证
-
检查容器状态:
bashdocker ps | grep qualys-runtime-sensor -
查看启动日志(确认连接状态):
bashdocker logs qualys-runtime-sensor | grep "Connected to Qualys server"若输出包含"Successfully connected to Qualys server",表示部署成功。
注意事项
- 权限要求:传感器需
--privileged权限或添加特定capabilities(如CAP_SYS_PTRACE、CAP_NET_RAW)以监控系统资源 - 安全最佳实践:API凭证需通过环境变量或密钥管理工具注入,避免硬编码
- 性能影响:默认扫描间隔(300秒)对生产环境影响较小,高负载场景可适当调大间隔
- 升级建议:定期更新镜像至最新版本以获取漏洞库和检测规则更新
使用场景示例
Kubernetes环境部署
通过DaemonSet在Kubernetes集群中部署(确保每个节点运行一个传感器实例):
yamlapiVersion: apps/v1 kind: DaemonSet metadata: name: qualys-runtime-sensor namespace: qualys spec: selector: matchLabels: app: qualys-sensor template: metadata: labels: app: qualys-sensor spec: hostPID: true containers: - name: qualys-sensor image: qualys/runtime-sensor:latest env: - name: QUALYS_SERVER value: "qualysapi.qualys.com" - name: QUALYS_API_KEY valueFrom: secretKeyRef: name: qualys-creds key: api-key - name: QUALYS_API_SECRET valueFrom: secretKeyRef: name: qualys-creds key: api-secret volumeMounts: - name: docker-sock mountPath: /var/run/docker.sock - name: hostroot mountPath: /hostroot readOnly: true - name: var-log mountPath: /var/log readOnly: true volumes: - name: docker-sock hostPath: path: /var/run/docker.sock - name: hostroot hostPath: path: / - name: var-log hostPath: path: /var/log
镜像拉取方式
您可以使用以下命令拉取该镜像。请将 <标签> 替换为具体的标签版本。如需查看所有可用标签版本,请访问 标签列表页面。
轩辕镜像加速拉取命令点我查看更多 runtime-sensor 镜像标签
docker pull docker.xuanyuan.run/qualys/runtime-sensor:<标签>
DockerHub 原生拉取命令
docker pull qualys/runtime-sensor:<标签>
更多 runtime-sensor 镜像推荐
snyk/runtime-sensor
snyk
暂无描述
10万+ 次下载
9 个月前更新
oxsecurity/runtime-sensor
oxsecurity
暂无描述
5万+ 次下载
21 天前更新
qualys/qcs-sensor
qualys
暂无描述
14 次收藏1000万+ 次下载
1 个月前更新
rancher/rke2-runtime
rancher
暂无描述
5 次收藏5000万+ 次下载
25 天前更新
library/ibm-semeru-runtimes
Docker 官方镜像
library/ibm-semeru-runtimes 是 IBM 官方提供的 OpenJDK 运行时 Docker 镜像,基于 Eclipse OpenJ9 虚拟机(JVM)构建,集成了 OpenJDK 类库,提供免费、生产级别的 Java 运行环境。该镜像以轻量、高性能、低内存占用为核心优势,支持 Java 8 至 Java 25 等多个长期支持(LTS)及最新版本,适配 amd64、arm64v8 等多架构,广泛用于企业级 Java 应用(如 Spring Boot、微服务)的容器化部署。
60 次收藏1000万+ 次下载
26 天前更新
qualys/cluster-sensor
qualys
CS Sensor Team开发的用于传感器数据采集、处理与监控的Docker镜像,支持高效传感器数据管理与应用集成。
100万+ 次下载
3 个月前更新
轩辕镜像配置手册
探索更多轩辕镜像的使用方法,找到最适合您系统的配置方式
Docker 配置
登录仓库拉取
通过 Docker 登录认证访问私有仓库
专属域名拉取
无需登录使用专属域名
K8s Containerd
Kubernetes 集群配置 Containerd
K3s
K3s 轻量级 Kubernetes 镜像加速
Dev Containers
VS Code Dev Containers 配置
Podman
Podman 容器引擎配置
Singularity/Apptainer
HPC 科学计算容器配置
其他仓库配置
ghcr、Quay、nvcr 等镜像仓库
Harbor 镜像源配置
Harbor Proxy Repository 对接专属域名
Portainer 镜像源配置
Portainer Registries 加速拉取
Nexus 镜像源配置
Nexus3 Docker Proxy 内网缓存
系统配置
需要其他帮助?请查看我们的 常见问题Docker 镜像访问常见问题解答 或 提交工单
镜像拉取常见问题
使用与功能问题
配置了专属域名后,docker search 为什么会报错?
docker search 限制
Docker Hub 上有的镜像,为什么在轩辕镜像网站搜不到?
站内搜不到镜像
机器不能直连外网时,怎么用 docker save / load 迁镜像?
离线 save/load
docker pull 拉插件报错(plugin v1+json)怎么办?
插件要用 plugin install
WSL 里 Docker 拉镜像特别慢,怎么排查和优化?
WSL 拉取慢
轩辕镜像安全吗?如何用 digest 校验镜像没被篡改?
安全与 digest
第一次用轩辕镜像拉 Docker 镜像,要怎么登录和配置?
新手拉取配置
轩辕镜像合规吗?轩辕镜像的合规是怎么做的?
镜像合规机制
错误码与失败问题
docker pull 提示 manifest unknown 怎么办?
manifest unknown
docker pull 提示 no matching manifest 怎么办?
no matching manifest(架构)
镜像已拉取完成,却提示 invalid tar header 或 failed to register layer 怎么办?
invalid tar header(解压)
Docker pull 时 HTTPS / TLS 证书验证失败怎么办?
TLS 证书失败
Docker pull 时 DNS 解析超时或连不上仓库怎么办?
DNS 超时
docker 无法连接轩辕镜像域名怎么办?
域名连通性排查
Docker 拉取出现 410 Gone 怎么办?
410 Gone 排查
出现 402 或「流量用尽」提示怎么办?
402 与流量用尽
Docker 拉取提示 UNAUTHORIZED(401)怎么办?
401 认证失败
遇到 429 Too Many Requests(请求太频繁)怎么办?
429 限流
docker login 提示 Cannot autolaunch D-Bus,还算登录成功吗?
D-Bus 凭证提示
为什么会出现「单层超过 20GB」或 413,无法加速拉取?
413 与超大单层
账号 / 计费 / 权限
用户好评
来自真实用户的反馈,见证轩辕镜像的优质服务
oldzhang
运维工程师
Linux服务器
5
"Docker访问体验非常流畅,大镜像也能快速完成下载。"