V prostředí operačních systémů CentOS 7 je kriticky důležité udržovat softwarové balíčky aktualizované a bezpečné. Jedním ze způsobů, jak toho dosáhnout, je využití nástrojů jako jsou Clair a Trivy pro automatické sledování a aktualizaci zranitelností. Tento článek poskytuje podrobné informace o tom, jak tyto nástroje na CentOS 7 nastavit a efektivně využívat.

Předpoklady

Před zahájením instalace a konfigurace je nutné zajistit, že systém má nainstalovaný Docker, neboť oba nástroje Clair a Trivy jsou distribuovány jako Docker obrazy, které usnadňují jejich nasazení a použití.

Instalace Dockeru na CentOS 7

1. Přidání Docker repositáře: Spusťte příkaz sudo yum-config-manager --add-repo https://download.docker.com/linux/centos/docker-ce.repo pro přidání oficiálního Docker repositáře.
2. Instalace Docker Engine: Pokračujte instalací Dockeru pomocí příkazu sudo yum install docker-ce docker-ce-cli containerd.io.
3. Spuštění Docker služby: Po instalaci zahajte Docker daemon pomocí sudo systemctl start docker a zajistěte jeho automatické spouštění při bootu systému příkazem sudo systemctl enable docker.

Nastavení Clair na CentOS 7

Clair je open-source projekt určený pro statickou analýzu zranitelností v Docker a rkt kontejnerech.

1. Stažení Clair konfiguračního souboru: Nejprve je třeba stáhnout vzorový konfigurační soubor Clair z oficiálního GitHub repositáře. Můžete použít příkaz wget https://raw.githubusercontent.com/quay/clair/v2.0.9/config.yaml.sample -O config.yaml pro stažení.
2. Spuštění Clair: S konfiguračním souborem připraveným, spusťte Clair pomocí Dockeru: docker run -d -e POSTGRES_PASSWORD="" -p 5432:5432 postgres:9.6 a následně docker run -d -p 6060:6060 -p 6061:6061 --link postgres:postgres -v /cesta/k/config.yaml:/config/config.yaml quay.io/quay/clair:v2.0.9 -config=/config/config.yaml.

Nastavení Trivy na CentOS 7

Trivy je jednoduchý a komplexní skener zranitelností pro kontejnery a jiné artefakty.

1. Stažení a instalace Trivy: Trivy můžete jednoduše nainstalovat spuštěním příkazu wget https://github.com/aquasecurity/trivy/releases/download/v0.18.3/trivy_0.18.3_Linux-64bit.tar.gz -O trivy.tar.gz && tar zxvf trivy.tar.gz && sudo mv trivy /usr/local/bin/.
2. Aktualizace databáze Trivy: Před prvním skenováním spusťte trivy image --download-db-only pro aktualizaci databáze zranitelností.

Automatizace skenování

S Clair nebo Trivy nyní připravenými na vašem CentOS 7, můžete nastavit cron joby pro pravidelné skenování vašich Docker obrazů.

1. Editace crontabu: Spusťte crontab -e pro editaci cron tabulky.
2. Přidání cron jobu: Pro automatické spouštění skenování přidejte řádek podobný následujícímu: 0 2 * * * trivy image [název_obrazu] > /cesta/k/log/souboru 2>&1, který bude spouštět skenování každý den v 2 hodiny ráno.

Využitím Clair nebo Trivy na CentOS 7 můžete efektivně sledovat a řešit zranitelnosti ve vašich softwarových balíčcích. Důležité je pravidelně aktualizovat databáze zranitelností a pravidelně skenovat vaše systémy, aby byla zachována maximální úroveň bezpečnosti.