Docker Bench for Security es una secuencia de comandos que comprueba docenas de prácticas recomendadas comunes relacionadas con la implementación de contenedores Docker en producción. Todas las pruebas están automatizadas y están inspiradas en el CIS Docker Community Edition Benchmark v1.1.0.
Para ejecutar estas pruebas, disponemos de un contenedor ya creado y con solo ejecutarlo, dispondremos del informe de nuestro servidor docker. Para ello, ejecutamos el siguiente comando:
docker run -it --net host --pid host --userns host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker/docker-bench-security
También podemos construir nuestro container, a partir del repositorio de GitHub, con los siguientes comandos:
git clone http://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker build --no-cache -t docker-bench-security .
docker run -it --net host --pid host --cap-add audit_control \
-e DOCKER_CONTENT_TRUST=$DOCKER_CONTENT_TRUST \
-v /var/lib:/var/lib \
-v /var/run/docker.sock:/var/run/docker.sock \
-v /usr/lib/systemd:/usr/lib/systemd \
-v /etc:/etc --label docker_bench_security \
docker-bench-security
También disponemos de Docker Compose, en Github:
git clone http://github.com/docker/docker-bench-security.git
cd docker-bench-security
docker-compose run --rm docker-bench-security
Como cuarta opción, podemos tenerlo como script nativo de Linux, sin usar contenedores:
git clone http://github.com/docker/docker-bench-security.git
cd docker-bench-security
sudo sh docker-bench-security.sh
Un comentario