infosec
Photo
Docker_Command_Cheat_Sheet.pdf
272.7 KB
• Помимо содержательного файлика с полезными командами Docker, хочу поделиться интересным репозиторием, который собрал уже 3.6К звёзд и содержит в себе необходимые подсказки для начинающих и опытных специалистов:
- Установка;
- Реестры и репозитории Docker;
- Первые действия с контейнерами;
- Запуск и остановка контейнеров;
- Получение информации о контейнерах;
- Сеть;
- Очистка Docker;
- Docker Swarm;
- Заметки.
#Docker #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
👍34🔥7
• Как известно, #Docker умеет создавать виртуальные сети для безопасного и удобного сетевого взаимодействия внутри контейнеров. В этой статье мы рассмотрим, как именно он это делает на примере базовых манипуляций с сетью в рамках одного хоста с операционной системой #Linux.
• По итогу мы получим:
- http-сервер, запущенный в изолированном сетевом пространстве;
- Доступ к этому серверу по порту 8000 из loopback (localhost) интерфейса хоста;
- Перенаправление пакетов от других машин по tcp порту 8000 в наш http-сервер.
• Дополнительный материал: в этой статье автор рассказывает о том, как работает сеть в контейнерах и разбирает следующие вопросы:
- Как виртуализировать сетевые ресурсы, чтобы контейнеры думали, что у них есть отдельная сетевая среда?
- Как превратить контейнеры в дружелюбных соседей и научить общаться друг с другом?
- Как выйти во внешний мир (например, в Интернет) изнутри контейнера?
- Как связаться с контейнерами, работающими на хосте Linux, из внешнего мира?
- Как реализовать публикацию портов, подобную Docker?
#Сети #DevOps #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29🔥7❤5
• Вероятно, что это самое понятное руководство, которое описывает работу контейнеров с сетью. Слева читаете, копируете команды, а справа наблюдаете за консолью:
#Docker #Сети
Please open Telegram to view this post
VIEW IN TELEGRAM
iximiuz Labs
How Container Networking Works: a Docker Bridge Network From Scratch | iximiuz Labs
Begin with the basics to understand Docker and Kubernetes networking: learn how to create and interconnect Linux network namespaces using only command-line tools.
👍15⚡1❤1
• Курс разделен на девять модулей, всего — 44 урока, 76 тестов и 3,5 часа видео. С помощью упражнений можно практиковаться в Docker Compose, командах Docker, разработке образов с использованием Dockerfiles. Среди прочих тем — Docker Compose и создание стека приложений с его использованием, Docker Swarm и Docker Registry. Курс предназначен для новичков в #DevOps.
• Дополнительно:
- Шпаргалка с командами Docker;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #Курс
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥24👍5
• Trivy — это сканер уязвимостей с открытым исходным кодом, разработанный для контейнерных сред. Он решает несколько проблем безопасности, связанных с выявлением уязвимостей в образах контейнеров и управлением ими. Вот некоторые проблемы, которые помогает решить Trivy:
• Материал по ссылке ниже будет отличным примером, как пользоваться данным инструментом. По сути, у нас будет готовая мини инструкция по установке и использованию:
#Docker #Trivy
Please open Telegram to view this post
VIEW IN TELEGRAM
1👍25❤4🔥4
📦 Первые контейнеры.
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
• Первые контейнеры, официально называвшиеся именно этим термином, появились в феврале 2004 года в операционной системе Solaris 10 от Sun Microsystems, они использовались на серверах с архитектурой x86 и SPARC. Solaris Containers включали в себя изолированные «песочницы» для запуска ОС (в терминологии разработчика они назывались «зонами»), а также инструменты управления системными ресурсами, допускавшими создание «моментальных снимков» отдельных зон и их клонирование. То есть, механизмы оркестрации.
• Зоны представляли собой полностью изолированные виртуальные серверы внутри хостовой операционной системы. Каждый такой экземпляр ОС имел собственное сетевое имя, использовал выделенные сетевые интерфейсы, собственную файловую систему, набор пользователей (включая root) и конфигурацию. При этом для работы виртуального сервера не требовалось жестко выделять память или процессор — аппаратные ресурсы использовались общие, однако при необходимости администратор имел возможность зарезервировать определенные серверные мощности для какой-то конкретной зоны. Процессы внутри контейнеров выполнялись изолированно, не имели доступа друг к другу и потому не могли конфликтовать.
• Основным отличием Solaris Containers от предшественников (Process Containers, LXC и Warden, #Docker и #Kubernetes) можно назвать то обстоятельство, что, как и ранее, виртуальные ОС использовали ядро хостовой системы, но при желании администратор мог запускать копии системы в контейнерах с собственным ядром. Это стало следующим важным шагом в эволюции технологий контейнеризации.
#Разное
🔥21👍19😁13❤2🙈1
• Небольшое видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации. Держу пари, что Вы точно откроете для себя что-то новое и полезное.
• Кстати, у автора этого видео есть очень крутой репо (4к
• Дополнительно:
#Docker #DevOps
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥27👍13❤4❤🔥1
• Очень крутой и содержательный урок (вебинар) про различные методы, которые злоумышленник может использовать для побега из контейнера Docker, а ещё мы разберем необходимые шаги для успешного побега на понятных примерах. Также обсудим причины возникновения таких уязвимостей и разберём, какие меры можно принять, чтобы предотвратить побег из контейнеров по следующим сценариям:
• К слову, у автора есть много другого полезного материала. Обязательно к просмотру:
#Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍19🔥7
• Нашел крутой инструмент, который позволяет вам развернуть уязвимую версию Docker, Kubernetes и ядра Linux. Тулза будет очень полезна пентестерам, для получения практического опыта в данном направлении. Подробное описание проекта доступно по ссылке ниже:
#Пентест #Linux #Kubernetes #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥45👍19😁2
• Коллекция полезных шпаргалок для DevOps, ИБ и ИТ-специалистов:
➡ Nginx;
➡ Docker;
➡ Ansible;
➡ Python;
➡ Go (Golang);
➡ Git;
➡ Regular Expressions (Regex);
➡ PowerShell;
➡ VIM;
➡ Jenkins;
➡ Continuous Integration and Continuous Delivery (CI/CD);
➡ Kubernetes;
➡ Linux;
➡ Redis;
➡ Slack;
➡ Puppet;
➡ Google Cloud Developer;
➡ AI, Neural Networks, Machine Learning, Deep Learning & Data Science;
➡ PostgreSQL;
➡ Ajax;
➡ Amazon Web Services (AWS);
➡ Infrastructure as Code (IaC);
➡ System Design;
➡ Cyber Security.
#CheatSheet #DevOps #ИБ
#CheatSheet #DevOps #ИБ
Please open Telegram to view this post
VIEW IN TELEGRAM
👍37🔥8❤6⚡1
• Актуальная и объемная шпаргалка по Docker на русском языке. Включает в себя команды для работы с сетью, образами, дисками и т.д.:
➡ https://gist.github.com/docker
• Дополнительно:
- Docker для начинающих - бесплатный курс с практическими заданиями;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #CheatSheet
• Дополнительно:
- Docker для начинающих - бесплатный курс с практическими заданиями;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker.
#Docker #CheatSheet
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
🐳22👍15
• У хостера Selectel пополнение в списке бесплатных курсов на их сайте. На этот раз добавили свежий курс по изучению Docker. Внутри курса — практика и понятные инструкции, а теории только в меру. Подойдет даже тем, кто не знает, что такое контейнеры.
• Шаг за шагом вам предстоит разобраться, как работает контейнеризация! А начнете с самых азов: как установить Docker, собирать образы, запускать контейнеры и работать с Docker Compose. В общем и целом, если совсем нет опыта, но хотите разобраться в теме и получить опыт, то добро пожаловать: https://selectel.ru/docker
• Не забывайте про дополнительный материал, который я уже публиковал в этом канале:
- Актуальная и объемная шпаргалка по Docker на русском языке;
- Play with Docker — онлайн-сервис для практического знакомства с Docker;
- Docker Security - объемное руководство по безопасной настройке Docker;
- Вебинар про различные методы, которые злоумышленник может использовать для побега из контейнера Docker;
- Secret Docker Commands: видео о полезных и продвинутых командах Docker, которые обычно не встречаются в документации.
#Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
🔥28👍14🐳5❤4
• Атаки на контейнеры случаются не так часто, как на другие системы, но это не делает их менее опасными. В этой статье описана интересная схема, когда контейнеризованная среда была скомпрометирована комбинацией из ранее известным майнером и новым вредоносным ПО, что позволило создать новые зараженные контейнеры и инфицировать уже существующие. Оба вредоносных компонента распространяются без использования командного сервера, что ставит под удар любую сеть с контейнеризованной инфраструктурой и небезопасно открытым для интернета API Docker.
• К слову, согласно анализу Shodan, в апреле 2025 года по всему миру было открыто для доступа из интернета 520 API Docker, опубликованных на порте 2375. Эта информация дает нам представление о разрушительном потенциале данной угрозы и подчеркивает необходимость тщательного мониторинга контейнеров и их надежной защиты.
#ИБ #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍27
• Вероятно, что многие из вас уже слышали о таком репозитории как vulhub. Этот репо содержит достаточно объемную коллекцию уязвимого ПО, которое упаковано в готовое окружение на базе docker-compose.
• Вот пример: относительно недавно были опубликованы некоторые уязвимости, которые связаны с контроллером ingress-nginx. Одной из таких уязвимостей является CVE-2025-1974 (9.8 Critical) — позволяет неавторизованному пользователю произвести удаленное выполнение кода. Соответственно вот тут есть готовое окружение с уязвимой версией ingress-nginx и подробным описанием уязвимости. Устанавливаете, тренируетесь, закрываете уязвимость и получаете кучу опыта. Круто? Еще как! Особенно когда к каждой лабе есть подробная документация.
➡️ https://github.com/vulhub/vulhub
➡️ https://vulhub.org/environments
#ИБ #docker
• Вот пример: относительно недавно были опубликованы некоторые уязвимости, которые связаны с контроллером ingress-nginx. Одной из таких уязвимостей является CVE-2025-1974 (9.8 Critical) — позволяет неавторизованному пользователю произвести удаленное выполнение кода. Соответственно вот тут есть готовое окружение с уязвимой версией ingress-nginx и подробным описанием уязвимости. Устанавливаете, тренируетесь, закрываете уязвимость и получаете кучу опыта. Круто? Еще как! Особенно когда к каждой лабе есть подробная документация.
#ИБ #docker
Please open Telegram to view this post
VIEW IN TELEGRAM
👍37🔥12❤8⚡2
• Нашел очень полезный ресурс, который содержит информацию по обеспечению безопасности контейнеров. Есть информация как для Red Team, так и для Blue Team. Рекомендую к изучению:
➡️ https://www.container-security.site
➡ API Security;
➡ Attacker Manifests;
➡ Attackers - Compromised Container Checklist;
➡ Attackers - Compromised User Credential Checklist;
➡ Attackers - External Checklist;
➡ Container & Kubernetes Security Tools;
➡ Container Breakout Vulnerabilities;
➡ Container CVE List;
➡ Container Security Site;
➡ Container Security Standards;
➡ Container Terms for Security People;
➡ Defenders - Container Image Hardening;
➡ Kubernetes Security Architecture Considerations;
➡ Kubernetes persistence checklist;
➡ Node/Proxy in Kubernetes RBAC;
➡ PCI Container Orchestration Guidance for Kubernetes;
➡ Reading List;
➡ Security Research;
➡ Security Terms For Container People;
➡ Support Lifecycles for container software and services.
#ИБ #docker #Kubernetes
#ИБ #docker #Kubernetes
Please open Telegram to view this post
VIEW IN TELEGRAM
👍22🔥8❤3✍2⚡1
• Для автоматической проверки Docker образов на уязвимости cуществует большое количество вспомогательных приложений и скриптов, которые выполняют проверки разнообразных аспектов Docker-инфраструктуры. Вот некоторые из них:
➡ Trivy - эта утилита нацелена на нахождение уязвимостей двух типов – проблемы сборок ОС (поддерживаются Alpine, RedHat (EL), CentOS, Debian GNU, Ubuntu) и проблемы в зависимостях. Trivy умеет сканировать как образ в репозитории, так и локальный образ, а также проводить сканирование на основании переданного
➡ Dockle - консольная утилита, работающая с образом (или с сохраненным tar-архивом образа), которая проверяет корректность и безопасность конкретного образа как такового, анализируя его слои и конфигурацию – какие пользователи созданы, какие инструкции используются, какие тома подключены, присутствие пустого пароля и т.д.
➡ Hadolint - довольно простая консольная утилита, которая помогает в первом приближении оценить корректность и безопасность Dockerfile-ов (например использование только разрешенных реестров образов или использование sudo).
• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
#Tools #Docker
.tar файла с Docker-образом.• Отмечу, что это набор базовых утилит с открытым исходным кодом для сканирования Docker-контейнеров, которые могут покрыть приличную часть требований к безопасности образов. Надеюсь, что перечисленные утилиты помогут вам в работе и станут отправной точкой для создания более безопасной инфраструктуры в области контейнеризации.
#Tools #Docker
Please open Telegram to view this post
VIEW IN TELEGRAM
Please open Telegram to view this post
VIEW IN TELEGRAM
👍29❤3🔥3