LINEで送る
Pocket

去年、実家でCoreOSサーバにdocker入れて遊んでいたのですが
完全に放置気味だったので、(以下ブログより)
今回はVuls Dockerを入れてこのブログ(blog.adachin.me)を定期的にスキャンしてみました。

https://blog.adachin.me/wordpress/archives/3887


■vuls/vuls Docker Hub

https://hub.docker.com/r/vuls/vuls/

https://github.com/future-architect/vuls/tree/master/setup/docker

Dockerなのでpullしてrunして終わりなので楽ちん。


■Pull new vuls docker images

まず必要なコンテナはgo-cve-dictionary、goval-dictionary、vulsの3つとなります。
バージョンアップしたい場合は# docker rmiしてまた# docker pullすれば最新となります。(これまた楽ちん)


■ Fetch NVD

今回はroot配下にvuls-dockerディレクトリを作成してそこで管理するようにしました。

sqlite3データベースファイルの出力先にマウントして
最新のCVEデータベースを構築するので、めちゃくちゃ時間かかります。
ちなみにMackerelで監視しているのですが若干ロアベが高かった。。


■Fetch JVN

日本のJVNデータベースはNVDのデータが日本語翻訳されていますのでCVEデータベースぶち込むとサイコー。


■Fetch OVAL (Ubuntu)

https://github.com/kotakanbe/goval-dictionary#goval-dictionary

ADACHIN SERVER LABはUbuntu16なのでUbuntu用OVALもぶち込みます。


■Configuration

・config.toml

あとはconfig.toml作ってテストしてスキャン!
vuls v0.4.0からsudoers NOPASSにしなくてもスキャンできるようになったので、
CoreOS(dockerサーバ)から自分のブログにsshできるか設定します。


■Configtest


■Scan


 ■Report


 ■TUI


 ■Slack

ひえええええええええ多いいいいいいいいいいいい
と思ったらNot Fixed Yet。

つまり、まだ修正版が出てないけどとりあえず脆弱性はあるよということ。
早く!!!

※追記2017/12/21 vuls v0.4.2
あれ!?

docker hostはCoreOSで動いてるのになぜdebianなんだ!?w
サウナおじさんに聞いてみよう→バグとのことなのでissuesに書いた。

https://github.com/future-architect/vuls/issues/566


■定期実行

定期実行する前に上記の脆弱性情報更新からreportまでスクリプトを作ってみました。(勢い)

 ・vuls-auto.sh

・スクリプト実行結果

勢いで作ってみましたが良さげ。
あとはCoreOSで定期実行してみます。

・Scheduling tasks with systemd timers

https://coreos.com/os/docs/latest/scheduling-tasks-with-systemd-timers.html

CoreOSにはcronがデフォルトで入っていないのでsystemdでやってみました。
土日以外朝8時に実行する感じ。通勤時にも見れますね。

・systemctl

先程作ったvuls.timerがエラーなく起動していればOK!


■まとめ

CoreOSもvuls scanできるようになれば敦盛と思いましたが、
CoreOS自体相当セキュアなので毎回新しいアップデートが来ると自動的にアップデートされて
再起動されますw(自分はオフにしてる)

https://blog.adachin.me/wordpress/archives/3962

これで自宅dockerサーバも放置することなくなった!・3・U
同僚の個人サーバも管理してるのでVulsスキャンしよう!
あとでVulsRepoも試してみまふ。

LINEで送る
Pocket

カテゴリー: CoreOSDockerVuls

あだちん

1989年生まれ。 ランサーズ/SRE。 ホスティングから大規模なアドテクなどのインフラエンジニアとして携わり、他社インフラレスポンス改善、ランサーズでの副業、ansibleでのインフラコード化を推進し、未経験によるエンジニアのMENTAなども実施している。また、「脆弱性スキャナVuls」のOSS活動もしており、自称エバンジェリスト/広報/VulsRepo init file,chatwork通知のコントリビュータでもある。現在はDocker開発環境の提供,AWSで新サービスのインフラ構築,PHPバージョンアップ,分析基盤を担当しておりDigdag,embulk,BigQueryを使いこなし中。

コメントを残す

このサイトはスパムを低減するために Akismet を使っています。コメントデータの処理方法の詳細はこちらをご覧ください