最近一直在研究Elasticsearch,后來部門的同事遇到了一個docker集群的未授權(quán)訪問漏洞,于是稍微看了一下docker進行了一下基本的入門,本文把自己學習docker的過程進行了一個詳細的記錄,希望能看過本文的文章能快速入門,本文會撿著最重要的命令分類進行介紹,讓不了解docker的安全從業(yè)人員快速了解docker。
Docker與KVM的區(qū)別
說到KVM和Docker的區(qū)別,我引用一張圖,由于題主不在互聯(lián)網(wǎng)公司工作,對于KVM和Docker對于生產(chǎn)的適用環(huán)境理解還欠佳,如果未來有機會進入互聯(lián)網(wǎng)工作,再把這部分補上。
不過通過架構(gòu)我們可以明顯的看出KVM的隔離對于Docker要好很多,由于KVM存在Hypervisor的存在對于硬件層面的虛擬化程度是遠高于docker的,基于Hypervisor我們可以安裝各種系統(tǒng),系統(tǒng)中的文件與環(huán)境也是隔離的。而Docker卻不一樣。應用之間大量的底層和編譯環(huán)境是共享的。這是我認識的Docker與KVM但并不是本文的重點,如果此處有任何錯誤也環(huán)境大牛來指正。
Docker公有鏡像的獲取
在docker中我們可以通過以下命令來查找共有鏡像:
1 | docker search nginx \\搜索公有的nginx images |
通過docker pull命令來獲取公有鏡像:
1 | docker pull nginx \\獲取名為nginx的鏡像 |
Docker啟停創(chuàng)建容器等常用命令分析
這部分命令非常多,也非常容易混淆,我在學習這部分的時候產(chǎn)生過許多疑問。諸如有了start命令為何還要有run命令。為什么有些參數(shù)只能跟著run而不能跟著start,以及一些常見的一些技巧。
1 | docker images \\查看本機擁有的鏡像 |
然而一個鏡像僅僅是鏡像,他需要在容器中進行執(zhí)行,所以我們要將images轉(zhuǎn)換為容器。創(chuàng)建一個新的容器我們通常使用以下的組合命令:
1 2 3 4 5 6 7 8 9 10 11 12 13 | docker run -idt --name newcentos centos haha.sh <strong>參數(shù)解釋< /strong >: -it 通常一起出現(xiàn)(標準輸入給容器并產(chǎn)生一個交互性shell) -d 在后臺運行 --name 給容器起一個名字方便管理(否則你要用容器ID管理了,心態(tài)會爆炸的) /bin/bash 生成容器后要執(zhí)行的命令 <strong>連起來解釋:< /strong > 創(chuàng)建一個新容器 裝載的鏡像為 centos 這個容器命名為newnetos 創(chuàng)建完成后執(zhí)行haha.sh腳本 通過 bash 來管理這個容器 并且創(chuàng)建完成后不進入容器(-d參數(shù)的存在) |
管理docker容器我主要用以下命令來實現(xiàn):
1 | docker ps -a \\顯示所有docker容器 |
我們可以通過attach命令來進入一個容器,進行交互式shell管理:
1 2 | docker start newcentos \\容器必須啟動 才可以attach docker attach newcentos \\上文我們將鏡像命名為newcentos,否則我們要跟鏡像的ID |
我們可以通過start和stop命令來啟停容器,同時需要注意的是,題主在有一點是懵逼的之前。docker run包含docker creat和docker start兩個階段。所以將一個新鏡像裝入容器中我們使用docker run可以一勞永逸的解決兩個階段的問題。
刪除容器的過程我們需要兩個階段,停止之后刪除:
1 2 | docker stop newcentos \\停止容器運行 docker rm newcentos \\刪除容器 |
Docker端口映射
當我們運行一個apache鏡像的時候,我們往往希望訪問宿主機地址80或者443端口來達到訪問容器中運行的apache進程。這時我們需要將宿主機的80和443端口映射到容器中的80和443端口,通常我們使用如下命令。
1 2 3 4 | docker run -idt --name apache -p 80:80 httpd 參數(shù)解釋: -p 宿主機端口:容器端口 |
我自己作為安全人員用到-P參數(shù)比較少,主要是將宿主機的隨機端口映射到容器的特定端口。
Docker掛載磁盤映像
經(jīng)典的docker romote api 未授權(quán)訪問漏洞反彈shell一般需要掛載宿主機根目錄來獲取權(quán)限,這里不詳細贅述。一般我們可以掛載本機的nginx配置文件等到容器,實現(xiàn)類似于linux系統(tǒng)中/mnt的效果。
1 2 3 4 | docker run -p 80:80 --name mynginx - v /www : /www - v /etc/conf/nginx .conf: /etc/nginx/nginx .conf -d nginx 參數(shù)解釋: - v 宿主機文件目錄:容器目錄 |
Docker鏡像創(chuàng)建(commit和Dockerfile)
我們可能在一個centos的鏡像容器中部署了各種環(huán)境如nginx,redis啊,現(xiàn)在我想對這個自定義的centos容器進行打包形成一個新的鏡像。可以使用commit和dockerfile兩種方法。
1 2 3 4 5 6 7 8 | docker commit -m "centos-redis" -a "legwindy" abe40a097f26 legwindy /centos-redis :v1 參數(shù)解釋: -m:一段記錄 -a:作者名稱 abe40a097f26:打包的容器ID,比如我在一個abe40a097f26的centos image裝了很多東西,那個容器ID就是abe40a097f26 (legwindy /centos-redis :v1):打包后的鏡像名稱,Tag值為v1 |
使用dockerfile進行構(gòu)建,比較復雜,我從網(wǎng)上找了個實例,需要了解很多語法,其實核心思想是把上面每一步操作寫到文件中,使用docker build直接按照步驟去執(zhí)行,以下是轉(zhuǎn)載的一個dockerfile實例:
幾個關鍵字段:
1 2 3 4 5 | FROM (鏡像名稱) RUN (執(zhí)行命令) EXPOSE (容器要打開的端口) ENTRYPOINT(難理解的點):可以把一個容器封裝成一個應用。 CMD(難理解的點):執(zhí)行的命令 |
比較難理解的是ENTRYPOINT和CMD的區(qū)別,ENTRYPOINT可以把容器封裝成一個應用,比如ENTRYPOINT后面接參數(shù)/usr/local/nginx后,我們attach容器后,效果和在Linux下直接執(zhí)行nginx命令的回現(xiàn)是相同的。CMD可以理解為接在ENTRYPOINT后的參數(shù),當我們撰寫這么一個參數(shù):--ENTRYPOINT /usr/local/bin/nginx后。我們我們使用如下命令達到的效果如下。 docker run xxxx --entrypoint /usr/local/bin/nginx help。等于在物理機中運行nginx help命令。
關于docker的使用,學習的還比較淺,僅僅在應用層層面,跟自己目前的工作還不太相關,有機會會為大家介紹docker remote api訪問漏洞的原因和防范方法。
http://www.cnblogs.com/Hyber/p/7156588.html