最近一直在研究Elasticsearch,后来部门的同事遇到了一个docker集群的未授权访问漏洞,于是稍微看了一下docker进行了一下基本的入门,本文把自己学习docker的过程进行了一个详细的记录,希望能看过本文的文章能快速入门,本文会捡着最重要的命令分类进行介绍,让不了解docker的安全从业人员快速了解docker。
- Docker与KVM的区别
说到KVM和Docker的区别,我引用一张图,由于题主不在互联网公司工作,对于KVM和Docker对于生产的适用环境理解还欠佳,如果未来有机会进入互联网工作,再把这部分补上。
不过通过架构我们可以明显的看出KVM的隔离对于Docker要好很多,由于KVM存在Hypervisor的存在对于硬件层面的虚拟化程度是远高于docker的,基于Hypervisor我们可以安装各种系统,系统中的文件与环境也是隔离的。而Docker却不一样。应用之间大量的底层和编译环境是共享的。这是我认识的Docker与KVM但并不是本文的重点,如果此处有任何错误也环境大牛来指正。
- Docker公有镜像的获取
在docker中我们可以通过以下命令来查找共有镜像:
docker search nginx \搜索公有的nginx images
通过docker pull命令来获取公有镜像:
docker pull nginx \获取名为nginx的镜像
- Docker启停创建容器等常用命令分析
这部分命令非常多,也非常容易混淆,我在学习这部分的时候产生过许多疑问。诸如有了start命令为何还要有run命令。为什么有些参数只能跟着run而不能跟着start,以及一些常见的一些技巧。
docker images \查看本机拥有的镜像
然而一个镜像仅仅是镜像,他需要在容器中进行执行,所以我们要将images转换为容器。创建一个新的容器我们通常使用以下的组合命令:
docker run -idt --name newcentos centos haha.sh 参数解释: -it 通常一起出现(标准输入给容器并产生一个交互性shell) -d 在后台运行 --name 给容器起一个名字方便管理(否则你要用容器ID管理了,心态会爆炸的) /bin/bash 生成容器后要执行的命令 连起来解释: 创建一个新容器 装载的镜像为 centos 这个容器命名为newnetos 创建完成后执行haha.sh脚本 通过bash来管理这个容器 并且创建完成后不进入容器(-d参数的存在)
管理docker容器我主要用以下命令来实现:
docker ps -a \显示所有docker容器
我们可以通过attach命令来进入一个容器,进行交互式shell管理:
docker start newcentos \容器必须启动 才可以attach docker attach newcentos \上文我们将镜像命名为newcentos,否则我们要跟镜像的ID
我们可以通过start和stop命令来启停容器,同时需要注意的是,题主在有一点是懵逼的之前。docker run包含docker creat和docker start两个阶段。所以将一个新镜像装入容器中我们使用docker run可以一劳永逸的解决两个阶段的问题。
删除容器的过程我们需要两个阶段,停止之后删除:
docker stop newcentos \停止容器运行 docker rm newcentos \删除容器
- Docker端口映射
当我们运行一个apache镜像的时候,我们往往希望访问宿主机地址80或者443端口来达到访问容器中运行的apache进程。这时我们需要将宿主机的80和443端口映射到容器中的80和443端口,通常我们使用如下命令。
docker run -idt --name apache -p 80:80 httpd 参数解释: -p 宿主机端口:容器端口
我自己作为安全人员用到-P参数比较少,主要是将宿主机的随机端口映射到容器的特定端口。
- Docker挂载磁盘映像
经典的docker romote api 未授权访问漏洞反弹shell一般需要挂载宿主机根目录来获取权限,这里不详细赘述。一般我们可以挂载本机的nginx配置文件等到容器,实现类似于linux系统中/mnt的效果。
docker run -p 80:80 --name mynginx -v /www:/www -v /etc/conf/nginx.conf:/etc/nginx/nginx.conf -d nginx 参数解释: -v 宿主机文件目录:容器目录
- Docker镜像创建(commit和Dockerfile)
我们可能在一个centos的镜像容器中部署了各种环境如nginx,redis啊,现在我想对这个自定义的centos容器进行打包形成一个新的镜像。可以使用commit和dockerfile两种方法。
docker commit -m "centos-redis" -a "legwindy" abe40a097f26 legwindy/centos-redis:v1 参数解释: -m:一段记录 -a:作者名称 abe40a097f26:打包的容器ID,比如我在一个abe40a097f26的centos image装了很多东西,那个容器ID就是abe40a097f26 (legwindy/centos-redis:v1):打包后的镜像名称,Tag值为v1
使用dockerfile进行构建,比较复杂,我从网上找了个实例,需要了解很多语法,其实核心思想是把上面每一步操作写到文件中,使用docker build直接按照步骤去执行,以下是转载的一个dockerfile实例:
几个关键字段:
FROM (镜像名称) RUN (执行命令) EXPOSE (容器要打开的端口) ENTRYPOINT(难理解的点):可以把一个容器封装成一个应用。 CMD(难理解的点):执行的命令
比较难理解的是ENTRYPOINT和CMD的区别,ENTRYPOINT可以把容器封装成一个应用,比如ENTRYPOINT后面接参数/usr/local/nginx后,我们attach容器后,效果和在Linux下直接执行nginx命令的回现是相同的。CMD可以理解为接在ENTRYPOINT后的参数,当我们撰写这么一个参数:--ENTRYPOINT /usr/local/bin/nginx后。我们我们使用如下命令达到的效果如下。 docker run xxxx --entrypoint /usr/local/bin/nginx help。等于在物理机中运行nginx help命令。
关于docker的使用,学习的还比较浅,仅仅在应用层层面,跟自己目前的工作还不太相关,有机会会为大家介绍docker remote api访问漏洞的原因和防范方法。