百度360必应搜狗淘宝本站头条
tomcat 乱码无法与服务器建立安全连接是什么意思sysv-rc-confdocker映射容器目录到宿主机internet explorer 增强的安全配置已启用
当前位置:网站首页 > 技术文章 > 正文

容器安全-Vesta(容器安全检测与防护)

nanshan 2025-05-08 03:52 15 浏览 0 评论

Vesta是一款集容器扫描、Docker和K8s配置基线检查于一身的工具,检查内容包括镜像或容器中包含漏洞版本的组件,同时根据云上实战渗透经验检查Docker以及Kubernetes的危险配置。

Vesta同时也是一个灵活,方便的工具,能够在各种系统上运行,包括但不限于Windows,Linux以及MacOS。

Github开源项目地址:
https://github.com/kvesta/vesta/tree/main


Vesta包含两大模块:

  1. scan: 扫描容器和镜像的组件信息,检测是否包含CVE漏洞版本。
  2. analyze: 检查Docker和Kubernetes配置,是否包含危险配置。(后续考虑附加攻击方法)


编译安装: ##基于go 1.18构建

[root@k8s-master-02 ~]# yum install -y make && yum install -y golang

[root@k8s-master-02 ~]# go version ##查看Go语言版本

[root@k8s-master-02 ~]# mkdir /root/vesta && cd /root/vesta

[root@k8s-master-02 ~]# git clone https://github.com/kvesta/vesta.git

[root@k8s-master-02 ~]# make build

[root@k8s-master-02 ~]# cp vesta /usr/local/bin && chmod +x /usr/local/bin/vesta


使用:

vesta scan image cve-2019-14234_web:latest

vesta scan image -f example.tar

vesta scan container <CONTAINER ID>

vesta scan container -f example.tar


vesta analyze docker

make run.docker


vesta analyze k8s


检查项:

  • Scan:

扫描通过主流安装方法安装程序的漏洞:

  1. apt/apt-get
  2. rpm
  3. yum
  4. dpkg


扫描软件依赖的漏洞以及恶意投毒的依赖包:

  1. Java(Jar, War, 以及主流依赖log4j)
  2. NodeJs(NPM, YARN)
  3. Python(Wheel, Poetry)
  4. Golang(Go binary)
  5. PHP(Composer, 以及主流的PHP框架: laravel, thinkphp, wordpress, wordpress插件等)
  6. Rust(Rust binary)


  • Docker检查:

Check Item

Description

Severity

PrivilegeAllowed

危险的特权模式

critical

Capabilities

危险capabilities被设置

critical

Volume Mount

敏感或危险目录被挂载

critical

Docker Unauthorized

2375端口打开并且未授权

critical

Kernel version

当前内核版本存在逃逸漏洞

critical

Network Module

Net模式为host模式或同时在特定containerd版本下

critical/medium

Pid Module

Pid模式被设置为host

high

Docker Server version

Docker Server版本存在漏洞

critical/high/ medium/low

Docker env password check

Docker env是否存在弱密码

high/medium

Docker history

Docker layers 存在不安全的命令

high/medium

Docker Backdoor

Docker env command 存在恶意命令

critical/high

Docker Swarm

Docker Swarm存在危险配置信息以及危险的容器检测

medium/low


  • Kubernetes检查:

Check Item

Description

Severity

PrivilegeAllowed

危险的特权模式

critical

Capabilities

危险capabilities被设置

critical

PV and PVC

PV 被挂载到敏感目录并且状态为active

critical/medium

RBAC

K8s 权限存在危险配置

high/medium/ low/warning

Kubernetes-dashborad

检查 -enable-skip-login以及 dashborad的账户权限

critical/high/ low

Kernel version

当前内核版本存在逃逸漏洞

critical

Docker Server version (k8s versions is less than v1.24)

Docker Server版本存在漏洞

critical/high/ medium/low

Kubernetes certification expiration

证书到期时间小于30天

medium

ConfigMap and Secret check

ConfigMap 或者 Secret是否存在弱密码

high/medium

PodSecurityPolicy check (k8s version under the v1.25)

PodSecurityPolicy过度容忍Pod不安全配置

high/medium/low

Auto Mount ServiceAccount Token

Pod默认挂载了service token

critical/high/ medium/low

NoResourceLimits

没有限制资源的使用,例如CPU,Memory, 存储

low

Job and Cronjob

Job或CronJob没有设置seccomp或seLinux安全策略

low

Envoy admin

Envoy admin被配置以及监听0.0.0.0.

high/medium

Cilium version

Cilium 存在漏洞版本

critical/high/ medium/low

Istio configurations

Istio 存在漏洞版本以及安全配置检查

critical/high/ medium/low

Kubelet 10255/10250 and Kubectl proxy

存在node打开了10250或者10255并且未授权或 Kubectl proxy开启

high/medium/ low

Etcd configuration

Etcd 安全配置检查

high/medium

Sidecar configurations

Sidecar 安全配置检查以及Env环境检查

critical/high/ medium/low

Pod annotation

Pod annotation 存在不安全配置

high/medium/ low/warning

DaemonSet

DaemonSet存在不安全配置

critical/high/ medium/low

Backdoor

检查k8s中是否有后门

critical/high

Lateral admin movement

Pod被特意配置到Master节点中

medium/low

相关推荐

使用nginx配置域名及禁止直接通过IP访问网站

前段时间刚搭建好这个网站,一直没有关注一个问题,那就是IP地址也可以访问我的网站,今天就专门研究了一下nginx配置问题,争取把这个问题研究透彻。1.nginx配置域名及禁止直接通过IP访问先来看n...

如何在 Linux 中使用 PID 号查找进程名称?

在Linux的复杂世界中,进程是系统运行的核心,每个进程都由一个唯一的「进程ID」(PID)标识。无论是系统管理员在排查失控进程,还是开发者在调试应用程序,知道如何将PID映射到对应的进程名称都是一项...

Linux服务器硬件信息查询与日常运维命令总结

1.服务器硬件信息查询1.1CPU信息查询命令功能描述示例lscpu显示CPU架构、核心数、线程数等lscpucat/proc/cpuinfo详细CPU信息(型号、缓存、频率)cat/proc/c...

Ubuntu 操作系统常用命令详解(ubuntu常用的50个命令)

UbuntuLinux是一款流行的开源操作系统,广泛应用于服务器、开发、学习等场景。命令行是Ubuntu的灵魂,也是高效、稳定管理系统的利器。本文按照各大常用领域,详细总结Ubuntu必学...

从 0 到 1:打造基于 Linux 的私有 API 网关平台

在当今微服务架构盛行的时代,API网关作为服务入口和安全屏障,其重要性日益凸显。你是否想过,不依赖商业方案,完全基于开源组件,在Linux上构建一个属于自己的私有API网关平台?今天就带你...

Nginx搭建简单直播服务器(nginx 直播服务器搭建)

前言使用Nginx+Nginx-rtmp-module在Ubuntu中搭建简单的rtmp推流直播服务器。服务器环境Ubuntu16.04相关概念RTMP:RTMP协议是RealTi...

Linux连不上网?远程卡?这篇网络管理指南你不能错过!

大家好!今天咱们聊个所有Linux用户都躲不开的“老大难”——网络管理。我猜你肯定遇到过这些崩溃时刻:新装的Linux系统连不上Wi-Fi,急得直拍桌子;远程服务器SSH连不上,提示“Connecti...

7天从0到上线!手把手教你用Python Flask打造爆款Web服务

一、为什么全网开发者都在疯学Flask?在当今Web开发的战场,Flask就像一把“瑞士军刀”——轻量级架构让新手3天速成,灵活扩展能力又能支撑百万级用户项目!对比Django的“重型装甲”,Flas...

nginx配置文件详解(nginx反向代理配置详解)

Nginx是一个强大的免费开源的HTTP服务器和反向代理服务器。在Web开发项目中,nginx常用作为静态文件服务器处理静态文件,并负责将动态请求转发至应用服务器(如Django,Flask,et...

30 分钟搞定 Docker 安装与 Nginx 部署,轻松搭建高效 Web 服务

在云计算时代,利用容器技术快速部署应用已成为开发者必备技能。本文将手把手教你在阿里云轻量应用服务器上,通过Docker高效部署Nginx并发布静态网站,全程可视化操作,新手也能轻松上手!一、准...

Nginx 配置实战:从摸鱼到部署,手把手教你搞定生产级配置

各位摸鱼搭子们!今天咱不聊代码里的NullPointerException,改聊点「摸鱼必备生存技能」——Nginx配置!先灵魂拷问一下:写了一堆接口却不会部署?服务器被恶意请求打崩过?静态资源加载...

如何使用 Daphne + Nginx + supervisor部署 Django

前言:从Django3.0开始支持ASGI应用程序运行,使Django完全具有异步功能。Django目前已经更新到5.0,对异步支持也越来越好。但是,异步功能将仅对在ASGI下运行的应用程序可用...

Docker命令最全详解(39个最常用命令)

Docker是云原生的核心,也是大厂的必备技能,下面我就全面来详解Docker核心命令@mikechen本文作者:陈睿|mikechen文章来源:mikechen.cc一、Docker基本命令doc...

ubuntu中如何查看是否已经安装了nginx

在Ubuntu系统中,可以通过以下几种方法检查是否已安装Nginx:方法1:使用dpkg命令(适用于Debian/Ubuntu)bashdpkg-l|grepnginx输出...

OVN 概念与实践(德育概念的泛化在理论和实践中有什么弊端?)

今天我们来讲解OVN的概念和基础实践,要理解本篇博客的内容,需要前置学习:Linux网络设备-Bridge&VethPairLinux网络设备-Bridge详解OVS+Fa...

取消回复欢迎 发表评论:

一周热门
最近发表
标签列表