使用clair扫描Docker镜像漏洞（1）

创建clair镜像

git clone https://github.com/coreos/clair.git
cd clair
git checkout v2.0.2

v2.0.2是最新的release版本
我们需要修改3个文件：

• Dockerfile
• docker-compose.yml
• config.example.yaml

原本的Dockerfile如下所示：

FROM golang:1.8-alpine

VOLUME /config
EXPOSE 6060 6061

ADD .   /go/src/github.com/coreos/clair/
WORKDIR /go/src/github.com/coreos/clair/

RUN apk add --no-cache git bzr rpm xz && \
    go install -v github.com/coreos/clair/cmd/clair && \
    mv /go/bin/clair /clair && \
    rm -rf /go /usr/local/go

ENTRYPOINT ["/clair"]

这个rm -rf /go /usr/local/go简直不能再吐槽了，镜像是分层存储的，要删除的文件内容又不在这一层，只会打个标记告诉联合文件系统这些文件删除了，并不能减少镜像的体积
可以使用Dockerfile多阶段构建，把镜像A编译得到的二进制文件复制到镜像B中，这样编译工具和程序代码不会被包含在镜像B里

FROM golang:alpine as builder

ADD . /go/src/github.com/coreos/clair
RUN go install -v github.com/coreos/clair/cmd/clair

FROM alpine:latest

VOLUME /config
EXPOSE 6060 6061

RUN apk add --no-cache git bzr rpm xz
COPY --from=builder /go/bin/clair /clair

ENTRYPOINT ["/clair"]

https://docs.docker.com/engine/reference/builder/#from
https://docs.docker.com/engine/reference/builder/#copy

---

在容器中运行clair

新建文件夹clair_scan，在其下创建docker-compose.yml，内容如下:

version: '2'
services:
  postgres:
    container_name: postgres
    image: postgres:alpine
    restart: unless-stopped
    volumes:
      - ./data:/var/lib/postgresql/data
    environment:
      POSTGRES_PASSWORD: password
  clair:
    container_name: clair
    image: myclair:latest
    restart: unless-stopped
    depends_on:
      - postgres
    ports:
      - "6060-6061:6060-6061"
    links:
      - postgres
    volumes:
      - ./tmp:/tmp
      - ./config:/config
    command: [-config, /config/config.yaml]

clair官网生成支持的postgres9.X版本，实测10.X也能用
相对于原本的文件：

• 修改了container_name
• 为postgres设置volumes
• 修改volumes对应的本地文件夹

然后创建data、tmp、config三个目录，把config.sample.yaml复制到config目录下更名为config.yaml，修改以下字段

clair:
  database:
    type: pgsql
    options:
      source: host=postgres port=5432 user=postgres password=password sslmode=disable statement_timeout=60000
      cachesize: 16384
  updater:
    interval: 120h

首先是数据库的连接方式，原本的config.sample没有指定password，host设置为localhost，把它更改为postgres的容器名，也就是postgres；其次是更新周期，原本2h检查更新得过于频繁
在clair_scan文件夹中执行命令docker-compose up -d运行clair

---

因为为容器设置了重启，所以即使运行出错也会不断重启
运行docker logs clair查看容器运行日志，常见的错误就是没法连接到数据库(连接方式出错)和读取不到配置文件(卷设置出错)
初次运行会下载漏洞数据库，介于国内的网络环境下载非常慢，还有可能出错。观察日志出现"update finished"表示下载完成

---

clair_local_scan

下载下来的漏洞数据库大概在200~300MB之间，初次使用时非常耗时，所以就有人把postgres和漏洞数据打包成专门的镜像

https://github.com/arminc/clair-local-scan

主要包含Travis Job的配置文件以及脚本check.sh

sudo: required

language: go

services:
  - docker

env:
  - POSTGRES_IMAGE=postgres:10.3-alpine CLAIR_LOCAL_SCAN_IMAGE=arminc/clair-local-scan:v2.0.1

install:
  - docker login -u="$DOCKER_USERNAME" -p="$DOCKER_PASSWORD"
  - docker pull $POSTGRES_IMAGE
  - docker pull $CLAIR_LOCAL_SCAN_IMAGE
  - docker run -d --name postgres -e 'PGDATA=/var/lib/postgresql/clair' -e POSTGRES_PASSWORD=password $POSTGRES_IMAGE
  - sleep 20
  - docker run -d --name clair --link postgres:postgres $CLAIR_LOCAL_SCAN_IMAGE
  
script:
  - ./check.sh clair

after_success:
  - docker stop clair
  - docker stop postgres
  - docker commit postgres arminc/clair-db:$(date +%Y-%m-%d)
  - docker tag arminc/clair-db:$(date +%Y-%m-%d) arminc/clair-db:latest
  - docker images
  - docker push arminc/clair-db:$(date +%Y-%m-%d)
- docker push arminc/clair-db:latest

不为postgres设置卷，使其把漏洞数据保存在可读写层
定期使用check.sh检查数据库是否更新完成，完成后使用commit命令把容器提交为新的镜像，以时间戳作为标签上传到Docker Hub中

https://hub.docker.com/r/arminc/clair-db/

#!/bin/bash

while true
do
    docker logs "$1" | grep "update finished" >& /dev/null
    if [ $? == 0 ]; then
        break
    fi

    docker logs "$1" | grep "an error occured" >& /dev/null
    if [ $? == 0 ]; then
        echo "Error happend" >&2
        docker logs "$1"
        exit 1
    fi

    echo -n "."
    sleep 10
done
echo ""

check.sh就是检查容器的日志中出现"update finished"
以后直接连接arminc/clair-db:latest就可以离线使用clair