- 一.系統環境
- 二.前言
- 三.Trivy簡介
- 四.Trivy漏洞掃描原理
- 五.利用trivy檢測容器映象的安全性
- 六.總結
一.系統環境
本文主要基於Docker version 20.10.14和Linux作業系統Ubuntu 18.04。
伺服器版本 | docker軟體版本 | CPU架構 |
---|---|---|
Ubuntu 18.04.5 LTS | Docker version 20.10.14 | x86_64 |
二.前言
隨著容器技術的普及,容器映象的安全性問題日益凸顯。容器映象中可能存在的漏洞會被攻擊者利用,從而導致整個應用的安全風險。因此,對容器映象進行安全漏洞掃描成為了必要的需求。Trivy是一款由aquasecurity團隊開發的容器映象安全漏洞掃描工具,支援Docker、Kubernetes等多種容器技術,具有易於使用、支援多種漏洞資料庫等特點。
三.Trivy簡介
Trivy是一款全面且多功能的安全掃描程式。Trivy 具有查詢安全問題的掃描器。Trivy官網為:https://github.com/aquasecurity/trivy ,Trivy軟體包下載地址為:https://github.com/aquasecurity/trivy/releases/ 。
Trivy 可以掃描的物件為:
- 容器映象;
- 檔案系統;
- Git Repository (遠端);
- 虛擬機器映像;
- Kubernetes;
- AWS系統。
Trivy能夠發現的問題有:
- 正在使用的作業系統包和軟體依賴項 (SBOM);
- 已知漏洞 (CVE);
- IaC 問題和錯誤配置;
- 敏感資訊和機密;
- 軟體許可證。
四.Trivy漏洞掃描原理
Trivy透過分析容器映象的檔案系統,識別出其中的軟體包及其版本號,然後與漏洞資料庫進行匹配,找出存在安全漏洞的軟體包。Trivy採用了以下技術實現漏洞掃描:
-
Dockerfile解析:Trivy可以根據Dockerfile自動解析出容器映象的構建過程,獲取映象中包含的軟體包及其版本號。
-
漏洞資料庫匹配:Trivy將容器映象中的軟體包及其版本號與漏洞資料庫進行匹配,找出存在安全漏洞的軟體包。
-
漏洞詳情展示:Trivy提供了詳細的漏洞資訊,包括漏洞描述、影響版本、修復建議等,幫助使用者瞭解漏洞風險。
CVE全稱是Common Vulnerabilities and Exposures,即通用漏洞披露,它是MITRE公司維護和更新的安全漏洞列表,列表中的每個條目都會有一個唯一的CVE編號,即CVE ID,供安全研究員和受攻擊的軟體供應商使用,以便確定和回應安全漏洞。CVE條目包含了與CVE ID相關的漏洞的描述性資料(即簡要描述和至少一個參考)。當前CVE累計收錄了19萬+個安全漏洞。
Trivy漏洞掃描原理簡單來說就是:Trivy下載漏洞資料庫CVE到本地,Trivy本地資料庫記錄了常見的漏洞資訊,Trivy讀取映象裡的程式和本地資料庫進行比對,確定映象是否存在漏洞。
五.利用trivy檢測容器映象的安全性
首先需要安裝docker。
[root@etcd2 ~]# yum -y install docker-ce
檢視docker版本。
[root@etcd2 ~]# docker -v
Docker version 20.10.12, build e91ed57
配置docker映象加速器。
[root@etcd2 ~]# cat /etc/docker/daemon.json
{
"registry-mirrors": [
"https://frz7i079.mirror.aliyuncs.com"
]
}
提前下載好映象做準備,我們下載了redis,busybox,nginx映象。
[root@etcd2 ~]# docker pull redis
[root@etcd2 ~]# docker pull busybox
[root@etcd2 ~]# docker pull nginx
[root@etcd2 ~]# docker images
REPOSITORY TAG IMAGE ID CREATED SIZE
busybox latest ec3f0931a6e6 4 months ago 1.24MB
nginx latest 605c77e624dd 5 months ago 141MB
redis latest 7614ae9453d1 5 months ago 113MB
下載好trivy安裝包。
[root@etcd2 ~]# ls trivy_0.28.1_Linux-64bit.rpm
trivy_0.28.1_Linux-64bit.rpm
安裝trivy。
[root@etcd2 ~]# yum -y install trivy_0.28.1_Linux-64bit.rpm
現在trivy就安裝好了。
[root@etcd2 ~]# which trivy
/usr/local/bin/trivy
檢視幫助:trivy --help。
[root@etcd2 ~]# trivy --help
檢視trivy掃描映象的語法:
[root@etcd2 ~]# trivy image --help
trivy image nginx 表示檢測nginx映象的漏洞,第一次檢測漏洞會下載漏洞資料庫,漏洞資料庫目錄預設是~/.cache/trivy 。
[root@etcd2 ~]# trivy image nginx
2022-06-16T17:06:01.035+0800 INFO Need to update DB
2022-06-16T17:06:01.036+0800 INFO DB Repository: ghcr.io/aquasecurity/trivy-db
2022-06-16T17:06:01.036+0800 INFO Downloading DB...
32.56 MiB / 32.56 MiB [------------------------------------------------------------------------------------------------------------------------------------------------------------] 100.00% 42.01 KiB p/s 13m14ss
2022-06-16T17:19:28.400+0800 WARN Increase --timeout value
2022-06-16T17:19:28.400+0800 FATAL image scan error: scan error: image scan failed: failed analysis: analyze error: timeout: context deadline exceeded
漏洞資料庫下載好之後,就可以檢測映象漏洞了,顯示了5個級別的漏洞:UNKNOWN: 1, LOW: 93, MEDIUM: 43, HIGH: 41, CRITICAL: 24。
[root@etcd2 ~]# trivy image nginx
2022-06-16T17:23:11.533+0800 INFO Detected OS: debian
2022-06-16T17:23:11.533+0800 INFO Detecting Debian vulnerabilities...
2022-06-16T17:23:11.585+0800 INFO Number of language-specific files: 0
nginx (debian 11.2)
Total: 202 (UNKNOWN: 1, LOW: 93, MEDIUM: 43, HIGH: 41, CRITICAL: 24)
┌─────────────────────┬──────────────────┬──────────┬────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
├─────────────────────┼──────────────────┼──────────┼────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ apt │ CVE-2011-3374 │ LOW │ 2.2.4 │ │ It was found that apt-key in apt, all versions, do not │
│ │ │ │ │ │ correctly... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2011-3374 │
├─────────────────────┼──────────────────┼──────────┼────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ bsdutils │ CVE-2021-3995 │ MEDIUM │ 2.36.1-8 │ 2.36.1-8+deb11u1 │ util-linux: Unauthorized unmount of FUSE filesystems │
│ │ │ │ │ │ belonging to users with similar uid... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2021-3995 │
├─────────────────────┼──────────────────┼──────────┼────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
......
├─────────────────────┼──────────────────┼──────────┼────────────────────┼─────────────────────────┼──────────────────────────────────────────────────────────────┤
│ zlib1g │ CVE-2018-25032 │ HIGH │ 1:1.2.11.dfsg-2 │ 1:1.2.11.dfsg-2+deb11u1 │ zlib: A flaw found in zlib when compressing (not │
│ │ │ │ │ │ decompressing) certain inputs... │
│ │ │ │ │ │ https://avd.aquasec.com/nvd/cve-2018-25032 │
└─────────────────────┴──────────────────┴──────────┴────────────────────┴─────────────────────────┴──────────────────────────────────────────────────────────────┘
trivy快取漏洞資料庫目錄如下:
[root@etcd2 ~]# ls .cache/trivy/ -lh
總用量 0
drwxr-xr-x 2 root root 43 6月 16 17:19 db
drwx------ 2 root root 22 6月 16 17:06 fanal
trivy會下載漏洞資料庫到本地,有時候下載會很慢,可以直接把已經安裝好的~/.cache/trivy資料夾直接打包,放到新安裝的機器上,就可以直接使用trivy了。
Trivy開始執行時每 12 小時下載一次漏洞資料庫。這通常很快,因為資料庫的大小隻有 10~30MB。但是,如果您甚至想跳過它,請使用該--skip-db-update選項: trivy image --skip-db-update nginx:1.16。
trivy只下載漏洞資料庫語法為:
[root@etcd2 ~]# trivy image --download-db-only
檢測redis映象漏洞。
[root@etcd2 ~]# trivy image redis | head
2022-06-16T17:38:18.504+0800 INFO Detected OS: debian
2022-06-16T17:38:18.505+0800 INFO Detecting Debian vulnerabilities...
2022-06-16T17:38:18.520+0800 INFO Number of language-specific files: 0
redis (debian 11.2)
===================
Total: 108 (UNKNOWN: 0, LOW: 63, MEDIUM: 18, HIGH: 16, CRITICAL: 11)
┌──────────────────┬──────────────────┬──────────┬───────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
檢測nginx映象漏洞。
[root@etcd2 ~]# trivy image nginx | head
2022-06-16T17:38:35.172+0800 INFO Detected OS: debian
2022-06-16T17:38:35.172+0800 INFO Detecting Debian vulnerabilities...
2022-06-16T17:38:35.189+0800 INFO Number of language-specific files: 0
nginx (debian 11.2)
===================
Total: 202 (UNKNOWN: 1, LOW: 93, MEDIUM: 43, HIGH: 41, CRITICAL: 24)
┌─────────────────────┬──────────────────┬──────────┬────────────────────┬─────────────────────────┬──────────────────────────────────────────────────────────────┐
│ Library │ Vulnerability │ Severity │ Installed Version │ Fixed Version │ Title │
注意Trivy 漏洞報告格式預設是表格。
[root@etcd2 ~]# trivy image -f table nginx:1.16
Trivy 漏洞報告格式也可以設定為JSON格式(-f), -o指定輸出列印到檔案裡。
[root@etcd2 ~]# trivy image -f json -o results.json nginx:1.16
六.總結
Trivy是一款功能強大、易於使用的容器映象安全漏洞掃描工具。透過在docker環境下的實踐,我們瞭解到Trivy可以有效地檢測容器映象中的安全漏洞,幫助我們保障應用的安全性。