开源镜像仓库Harbor的镜像安全

幸运草
幸运草
幸运草
923
文章
3
评论
2020年5月26日23:27:34 评论 91

“漏洞之王”一年可以赚多少外快?

实际上,江湖传言中确有一些一夜暴富,一月之间从捷安特换成兰博基尼的黑客故事。但是这些黑客无一例外都在从事“黑色产业”。他们盗窃用户的信息,破解用户的银行账户,把用户的资金装进自己的口袋。 换言之,他们是不折不扣的罪犯。业内人士告诉雷锋网,在网络黑产兴盛的最初几…

之前介绍过Harbor,从安装部署到简单使用,今天这里就不再重复介绍了,有需要的可以跳转到'Harbor 功能强大的企业级私有仓库'查看,今天主要介绍Harbor的安全功能——镜像漏洞扫描

Harbor是通过Trivy和Clari对镜像进行静态分析,通过对比CVE漏洞库,进行漏洞分析,默认情况下,通过Harbor的安装脚本install.sh进行安装的话,是漏洞扫描是未开启的状态,需要在安装的时候通过--with-trivy和--with-clair来开启

虽然这两种镜像漏洞扫描工具都可以安装,但是Harbor默认只能支持一种作为默认扫描工具,如果只安装其中一个,那就是默认漏洞扫描工具,如果两个都安装,默认是Trivy作为默认的漏洞扫描工具

安装看下效果

开源镜像仓库Harbor的镜像安全

安装完成后就直接启动了harbor了,如果有什么问题,再处理下,比如容器名称冲突了之类的,harbor是通过docker-compose起的,所以可以解决完,重新docker-compose up -d重新启动就可以了

开源镜像仓库Harbor的镜像安全

比默认启动多了三个容器,就是安装的trivy和clair的镜像漏洞扫描工具,访问Harbor后台看下(默认登陆密码在harbor.yml中有设置)

开源镜像仓库Harbor的镜像安全

已开启扫描器,并且默认Trivy是默认扫描器,也可以更改默认扫描器,另外除了这两种扫描器,你也可以添加其他扫描器

扫描器的使用方法有几种,自动、主动、定时

自动扫描,就是在镜像上传到Harbor仓库时,自动进行扫描,通过定义部署安全级别,阻止某些安全级别的镜像,上传到Harbor,这部分配置在项目配置中

开源镜像仓库Harbor的镜像安全

新建项目,在项目中的配置管理里面进行漏洞扫描的配置,分别配置是否阻止潜在漏洞镜像,按照危害级别进行阻止,勾选自动扫描镜像,即在镜像上传的时候进行扫描,我们勾选,上传镜像测试

开源镜像仓库Harbor的镜像安全

在镜像仓库中可以看到正在扫描

开源镜像仓库Harbor的镜像安全

等待扫描完成后,可以查看漏洞扫描结果

开源镜像仓库Harbor的镜像安全

这个就是自动扫描,另外还有主动扫描和定时扫描,在审查服务中进行配置

开源镜像仓库Harbor的镜像安全

在审查服务中,直接点击开始扫描,就启动所有镜像的扫描任务,如果需要定时扫描,则配置好定时扫描周期,保存后,Harbor会按照固定周期定时扫描仓库中的所有镜像

Harbor漏洞扫描还有个功能,就是CVE白名单,有时候有一些CVE我们想要忽略,就是这个CVE代号的漏洞,不在我们考虑的安全范围内,我们可以通过设置CVE白名单来进行忽略

CVE白名单分两种,一种是项目白名单,一种是系统白名单,在项目中的配置管理中进行配置

开源镜像仓库Harbor的镜像安全

项目白名单,就直接在项目中进行配置,添加cve对应的cveid,并设置过期时间即可

系统白名单,需要在系统管理——配置管理——系统设置——部署安全性中进行添加

开源镜像仓库Harbor的镜像安全

以上就是Harbor的镜像漏洞扫描,它主要依赖第三方的漏洞扫描工具,目前也只能是CVE已知漏洞静态分析扫描,比较鸡肋的地方,就是漏洞扫描结果的展示,只有一个大致的统计信息,这样,对于漏洞扫描来说,就失去了大部分意义,只能说是用来防止上传有漏洞的镜像,如果要做漏洞分析,还是需要直接用trivy进行扫描,会直接显示漏洞列表。

网站被木马恶意篡改了怎么办?

网站被篡改的情况多出现于企业官网,且做了百度竞价的一些网站。而且直接访问网站时,不易发现问题,但通过百度访问会发现跳转到了违法内容的链接。再通过百度搜索官网会发现搜索结果中网站的Title、Description都已经被篡改。 这类行为的目的就是通过这些受害网…

转载请注明:{{title}}-变化吧
  • 赞助本站
  • 微信扫一扫
  • weinxin
  • 赞助本站
  • 支付宝扫一扫
  • weinxin
幸运草
运维人员防止误操作的 5 个宝贵经验 运维

运维人员防止误操作的 5 个宝贵经验

运维必看:日志标准化必须面对的 4 类问题 近些年有些企业领导认为IT就是花钱的部门,每年增长运维任务且压缩成本,造成人员紧张,工作强度压力大,薪酬少且多年不涨,这就使运维人员的工作积极性越来越低,作...
运维的耻辱感 运维

运维的耻辱感

觉得自己很累,是吧? 累就是因为我们每天做一些没有让自己觉得很有成就感的事情,当然很累。 觉得自己苦逼,是吧? 苦逼是你做得很辛苦,然后还没有认可,而你总觉得自己做了很多,你当然心里会觉得苦逼。 觉得...
运维不仅仅是Linux居然还要懂这这些 运维

运维不仅仅是Linux居然还要懂这这些

运维不仅仅是懂Linux就行,因为还有一大部分的Windows运维,向windows运维人员致敬。当然我们这篇文章不是说运维除了懂Linux,还要懂Windows,而是涉及运维的其他方方面面。 如:环...
运维DBA的4大纪律9项注意 运维

运维DBA的4大纪律9项注意

企业级Docker镜像仓库的管理和运维朋友们调侃说,运维是个把脑袋别在裤腰带上的活,更有人说,运维是个把脑袋别在他人裤腰带上的活,苦劳没人认,有锅就有得背! 测试的同学说,“吃瓜群众很难感知运维背后的...