Diferencias

Muestra las diferencias entre dos versiones de la página.

--- informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/10 15:58] – creado tempwin
+++ informatica:sistemas_operativos:cursos:docker_avanzado:distribucion_de_imagenes [2023/10/18 18:30] (actual) – [Caso práctico] tempwin
@@ Línea 2: / Línea 2: @@
 Contenido perteneciente al curso [[informatica:sistemas_operativos:cursos:docker_avanzado|Docker avanzado]].
+===== Registro =====
+Para la distribución de imágenes usamos los registros
+Podemos usar un registro público o uno privado
+El registro público más conocido y usado es Docker Hub
+===== Docker Hub =====
+Para publicar en Docker Hub lo primero que necesitamos es crear una cuenta de usuario: https://hub.docker.com/
+Una vez tenemos la cuenta creada, tenemos que ir a la sección de repositorios y nos creamos nuestro propio repositorio: Podemos escoger entre público y privado
+Lo siguiente es iniciar sesión con nuestro usuario en nuestro docker cliente:
+<code>
+docker login --username={username}
+</code>
+Ahora ya podemos crear imágenes con nuestro repositorio y subirlas a Docker Hub:
+<code>
+docker build {userName}/{repositoryName}:{tag}
+</code>
+Esto nos genera la imagen de forma local:
+<code>
+docker images
+</code>
+El último paso es subirla al registro:
+<code>
+docker push {userName}/{repositoryName}:{tag}
+</code>
+===== Docker Hub - Privado =====
+Tenemos la posibilidad de instalar un servidor privado de Docker Hub en nuestra infraestructura
+Ejemplo rápido de instalación en un contenedor:
+<code>
+docker run -d -p 5000:5000 --restart always --name registry registry:2
+</code>
+Y lo podríamos usar así:
+<code>
+docker pull ubuntu
+docker tag ubuntu localhost:5000/ubuntu
+docker push localhost:5000/Ubuntu
+</code>
+Un ejemplo más completo de configuración: https://www.digitalocean.com/community/tutorials/how-to-set-up-a-private-
+docker-registry-on-ubuntu-18-04-es
+===== Práctica guiada: auditar vulnerabilidades =====
+Al igual que el resto de los componentes software, las imágenes de contenedores Docker, también suelen estar expuestas a vulnerabilidades que podrían desencadenar en una amenaza potencial cuando se ponga el contenedor en ejecución si no se detectan y tratan correctamente.
+==== Docker Scout ====
+Docker incorpora una herramienta llamada **Docker Scout** que nos puede ayudar a identificar estas vulnerabilidades en nuestras imágenes. Lo podemos ejecutar de forma directa en línea de comandos o integrarlo con nuestro registro (Docker Hub, …) y nuestras herramientas de CI.
+Cuenta con los siguientes subcomandos:
+  * ''docker scout compare'': Compara dos imágenes y muestra las diferencias
+  * ''docker scout cves'': Muestra el detalle de las vulnerabilidades (CVEs) detectadas en una imagen
+  * ''docker scout quickview'': Muestra un resumen rápido de los CVEs detectados en una imagen
+  * ''docker scout recommendations'': Muestra las recomendaciones de actualización de las imágenes base y otras recomendaciones generales si están disponibles
+<WRAP center round info 60%>
+Para instalar docker scout en Linux sin Docker Compose se puede usar [[https://github.com/docker/scout-cli|Docker Scout CLI]]. Instalación rápida:
+<code>
+curl -sSfL https://raw.githubusercontent.com/docker/scout-cli/main/install.sh | sh -s --
+</code>
+</WRAP>
+<WRAP center round important 60%>
+Para usar docker scout es necesario tener un Docker ID, para ello hay que crearse una cuenta en [[https://hub.docker.com/|Docker Hub]].
+</WRAP>
+==== Caso práctico ====
+Vamos a poner a prueba esta herramienta con una imagen de Ubuntu.
+**1. Lo primero es descargar la imagen que queremos analizar**
+<code>
+docker pull ubuntu:latest
+</code>
+**2. Visualizamos un resumen rápido de vulnerabilidades**
+<code>
+docker scout quickview ubuntu:latest
+</code>
+Ejemplo de salida:
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+  Target   │  ubuntu:latest  │    0C     0H     2M    12L
+    digest │  e4c58958181a   │
+What's Next?
+  View vulnerabilities → docker scout cves ubuntu:latest
+  Include policy results in your quickview by supplying an organization → docker scout quickview ubuntu:latest --org <organization>
+</code>
+**3. Vamos a consultar el detalle de todas las vulnerabilidades**
+<code>
+docker scout cves ubuntu:latest
+</code>
+Ejemplo (resumido) de salida:
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+    ✗ Detected 12 vulnerable packages with a total of 14 vulnerabilities
+## Overview
+                    │       Analyzed Image
+────────────────────┼──────────────────────────────
+  Target            │  ubuntu:latest
+    digest          │  e4c58958181a
+    platform        │ linux/amd64
+    vulnerabilities │    0C     0H     2M    12L
+    size            │ 34 MB
+    packages        │ 143
+## Packages and Vulnerabilities
+C     0H     1M     0L  perl 5.34.0-3ubuntu1.2
+pkg:deb/ubuntu/perl@5.34.0-3ubuntu1.2?os_distro=jammy&os_name=ubuntu&os_version=22.04
+    ✗ MEDIUM CVE-2022-48522
+      https://scout.docker.com/v/CVE-2022-48522
+      Affected range : >=0
+      Fixed version  : not fixed
+      CVSS Score     : 9.8
+      CVSS Vector    : CVSS:3.1/AV:N/AC:L/PR:N/UI:N/S:U/C:H/I:H/A:H
+(...)
+vulnerabilities found in 12 packages
+  LOW       12
+  MEDIUM    2
+  HIGH      0
+  CRITICAL  0
+</code>
+**4. Finalmente vamos a probar el comando de recomendaciones**
+<code>
+docker scout recommendations ubuntu:latest
+</code>
+Ejemplo de salida:
+<code>
+    ✓ SBOM of image already cached, 143 packages indexed
+Could not display recommendations for  ubuntu:latest
+image has no base image
+</code>
+**5. Ve a [[https://hub.docker.com|Docker Hub]], busca la imagen de ''ubuntu:latest'' y compara los resultados obtenidos con la información mostrada en Docker Hub**
+**6. Crea una imagen personalizada llamada ''ubuntu-updated'' tomando como imagen base ubuntu:latest y aplica las actualizaciones del sistema pertinentes.**
+Dockerfile:
+<code>
+FROM ubuntu:latest
+RUN apt-get update && apt-get upgrade
+RUN apt-get clean
+</code>
+**7. Repite los pasos 2, 3 y 4 sobre la imagen personalizada que acabamos de crear y analiza los resultados obtenidos. ¿Tenemos alguna posible solución para reducir las vulnerabilidades? En caso afirmativo, prueba a aplicar esa solución en una nueva imagen llamada ''ubuntu-updated-fixed'' y repite los paso 2, 3 y 4 sobre ella.**
+Al hacer:
+<code>
+docker scout recommendations ubuntu-updated
+</code>
+Nos dice:
+<code>
+Change base image
+  The list displays new recommended tags in descending order, where the top results are rated as most suitable.
+            Tag           │                        Details                         │   Pushed    │       Vulnerabilities
+──────────────────────────┼────────────────────────────────────────────────────────┼─────────────┼──────────────────────────────
+.10                  │ Benefits:                                              │ 6 days ago  │    0C     0H     0M     0L
+  Major OS version update │ • Image is smaller by 2.2 MB                           │             │                  -2    -12
+  Also known as:          │ • Image contains 18 fewer packages                     │             │
+  • mantic                │ • Tag was pushed more recently                         │             │
+  • rolling               │ • Image introduces no new vulnerability but removes 14 │             │
+  • mantic-20231011       │ • Major OS version update                              │             │
+                          │                                                        │             │
+                          │ Image details:                                         │             │
+                          │ • Size: 27 MB                                          │             │
+                          │ • OS: 23.10                                            │             │
+                          │                                                        │             │
+                          │                                                        │             │
+                          │                                                        │             │
+.04                  │ Benefits:                                              │ 2 weeks ago │    0C     0H     0M     6L
+  Major OS version update │ • Image is smaller by 2.5 MB                           │             │                  -2     -6
+  Also known as:          │ • Image contains 17 fewer packages                     │             │
+  • lunar                 │ • Image introduces no new vulnerability but removes 8  │             │
+  • lunar-20231004        │ • Major OS version update                              │             │
+                          │ • 23.04 was pulled 1.5M times last month               │             │
+                          │                                                        │             │
+                          │ Image details:                                         │             │
+                          │ • Size: 27 MB                                          │             │
+                          │ • Flavor: ubuntu                                       │             │
+                          │ • OS: 23.04                                            │             │
+</code>
+Vamos a hacer lo que nos sugiere y cambiar la imagen base por la ''ubuntu:23.10'':
+<code>
+FROM ubuntu:23.10
+RUN apt-get update && apt-get upgrade
+RUN apt-get clean
+</code>
+**8. Finalmente vamos a probar la opción de comparación (OJO: es una función experimental del comando ''docker scout'').**
+Primero vamos a comparar la imagen base de ubuntu:latest con nuestra imagen ''ubuntu-updated''
+<code>
+docker scout compare ubuntu:latest --to ubuntu-updated
+</code>
+Resultado (resumido>:
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 143 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu-updated:latest
+      digest          │  e4c58958181a               │  bec7ada07c12
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     2M    12L
+                      │                             │
+      size            │ 34 MB (-32 MB)              │ 66 MB
+      packages        │ 143                         │ 143
+                      │                             │
+  ## Environment Variables
+      PATH=/usr/local/sbin:/usr/local/bin:/usr/sbin:/usr/bin:/sbin:/bin
+(...)
+  ## Packages and Vulnerabilities
+packages unchanged
+     Package              Type  Version                                  Compared Version
+     acl                  deb   2.3.1-1                                  2.3.1-1
+     adduser              deb   3.118ubuntu5                             3.118ubuntu5
+(...)
+</code>
+A continuación, compararemos ''ubuntu:latest'' con ''ubuntu:23.10'':
+<code>
+docker scout compare ubuntu:latest --to ubuntu:23.10
+</code>
+Resultado (resumido):
+<code>
+WARN 'docker scout compare' is experimental and its behaviour might change in the future
+    ✓ SBOM of image already cached, 143 packages indexed
+    ...Storing image for indexing
+    ✓ Image stored for indexing
+    ...Indexing
+    ✓ Indexed 125 packages
+  ## Overview
+                      │       Analyzed Image        │      Comparison Image
+  ────────────────────┼─────────────────────────────┼──────────────────────────────
+    Target            │  ubuntu:latest              │  ubuntu:23.10
+      digest          │  e4c58958181a               │  fe7a3960a97e
+      platform        │ linux/amd64                 │ linux/amd64
+      vulnerabilities │    0C     0H     2M    12L  │    0C     0H     0M     0L
+                      │                  +2    +12  │
+      size            │ 34 MB (+2.7 MB)             │ 31 MB
+      packages        │ 143 (+18)                   │ 125
+                      │                             │
+  ## Environment Variables
+(...)
+  ## Packages and Vulnerabilities
+    +   23 packages added
+    -    5 packages removed
+    ⎌  115 packages changed (↑ 0 upgraded, ↓ 115 downgraded)
+packages unchanged
+    + 14 vulnerabilities added
+     Package              Type  Version                                  Compared Version
+  ↓  acl                  deb   2.3.1-1                                  2.3.1-3
+  +  adduser              deb   3.118ubuntu5
+  ↓  apt                  deb   2.4.10                                   2.7.3
+  ↓  attr                 deb   1:2.5.1-1build1                          1:2.5.1-4
+(...)
+</code>
+==== Trivy ====
+Si queremos hacer un examen más en profundidad podemos echar mano de la herramienta [[https://github.com/aquasecurity/trivy|Trivy]]
+A diferencia de Docker Scout, Trivy tiene un ámbito de funcionamiento mucho mayor. La podemos utilizar para detectar CVEs en imágenes de contenedores, pero también será capaz de detectar configuraciones potencialmente peligrosas y secretos así como analizar otros elementos como repositorios de código, sistemas de ficheros, maquinas
+virtuales, configuraciones de Kubernetes o de infraestructuras cloud, etc.
+=== Caso práctico ===
+La herramienta Trivy se puede instalar como un script de sistema en diferentes plataformas, pero también tenemos la opción de usarla como un contenedor. Esta será la opción que vamos a utilizar en esta práctica.
+. Para poder utilizar Trivy y optimizar mejor el uso reiterado de la herramienta vamos a utilizar un bind para persistir la cache de la herramienta. Para ello creamos una carpeta que luego usaremos como volumen (También lo podemos hacer con un named volumen si lo preferimos)
+<code>
+mkdir ~/ trivy-cache
+</code>
+. Vamos a ejecutar un análisis sobre la imagen de ubuntu:latest:
+<code>
+docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v ~/trivy-cache/:/root/.cache/ aquasec/trivy image ubuntu:latest
+</code>
+<WRAP center round info 60%>
+Al ligar ''docker.sock'' hacemos que los comandos Docker que ejecutemos dentro del contenedor, se aplican fuera (en la máquina que tiene Docker). Esto también se suele utilizar para sincronizar fecha y hora de los contenedores.
+</WRAP>
+**3. Compara los resultados obtenidos con Trivy y los obtenidos con Docker Scan. ¿Tenemos más o menos VCEs?**
+Resultado (resumido):
+<code>
+ubuntu:latest (ubuntu 22.04)
+============================
+Total: 23 (UNKNOWN: 0, LOW: 17, MEDIUM: 6, HIGH: 0, CRITICAL: 0)
+┌──────────────────┬────────────────┬──────────┬──────────┬──────────────────────────┬───────────────┬─────────────────────────────────────────────────────────────┐
+│     Library      │ Vulnerability  │ Severity │  Status  │    Installed Version     │ Fixed Version │                            Title                            │
+├──────────────────┼────────────────┼──────────┼──────────┼──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ bash             │ CVE-2022-3715  │ LOW      │ affected │ 5.1-6ubuntu1             │               │ a heap-buffer-overflow in valid_parameter_transform         │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2022-3715                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+│ coreutils        │ CVE-2016-2781  │          │          │ 8.32-4.1ubuntu1          │               │ coreutils: Non-privileged session can escape to the parent  │
+│                  │                │          │          │                          │               │ session in chroot                                           │
+│                  │                │          │          │                          │               │ https://avd.aquasec.com/nvd/cve-2016-2781                   │
+├──────────────────┼────────────────┤          │          ├──────────────────────────┼───────────────┼─────────────────────────────────────────────────────────────┤
+</code>
+^ Vulnerabilidades ^ Docker Scout ^ Trivy ^
+| Unknown          |   x |  0 |
+| Low              |  12 |  17 |
+| Medium           |  2 |  6 |
+| High             |  0 |  0 |
+| Critical         |  0 |  0 |
+Con ''docker scout'' nos encontró 14 y con Trivy 23.