如何進行Docker入門以及漏洞測試環境搭建

# 如何進行Docker入門以及漏洞測試環境搭建

## 一、Docker技術入門

### 1. Docker核心概念

Docker是一種輕量級的容器化技術，通過以下核心組件實現環境隔離：

- **鏡像（Image）**：只讀模板，包含運行環境和應用程序
- **容器（Container）**：鏡像的運行實例
- **Dockerfile**：自動化構建鏡像的腳本文件
- **Registry**：鏡像倉庫（如Docker Hub）

### 2. 安裝與配置

#### Linux系統安裝（以Ubuntu為例）
```bash
# 卸載舊版本
sudo apt-get remove docker docker-engine docker.io containerd runc

# 安裝依賴
sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release

# 添加官方GPG密鑰
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

# 設置穩定版倉庫
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 安裝Docker引擎
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io

Windows/macOS

推薦使用Docker Desktop： 1. 訪問docker官網 2. 下載對應系統的安裝包 3. 按向導完成安裝

3. 基礎命令實踐

# 查看版本信息
docker --version
docker info

# 鏡像管理
docker pull ubuntu:20.04       # 拉取鏡像
docker images                   # 查看本地鏡像
docker rmi <image_id>          # 刪除鏡像

# 容器操作
docker run -it ubuntu bash     # 啟動交互式容器
docker ps -a                   # 查看所有容器
docker start/stop <container> # 啟停容器
docker exec -it <container> bash # 進入運行中的容器

二、漏洞測試環境搭建

1. 常見漏洞環境鏡像

官方漏洞環境

# DVWA (Damn Vulnerable Web App)
docker pull vulnerables/web-dvwa
docker run -d -p 8080:80 vulnerables/web-dvwa

# OWASP Juice Shop
docker pull bkimminich/juice-shop
docker run -d -p 3000:3000 bkimminich/juice-shop

# Metasploitable2
docker pull tleemcjr/metasploitable2
docker run -d -p 80:80 -p 21:21 tleemcjr/metasploitable2

自定義環境構建

創建Dockerfile示例：

FROM ubuntu:20.04
RUN apt-get update && apt-get install -y \
    apache2 \
    php \
    mysql-server \
    && rm -rf /var/lib/apt/lists/*

COPY vulnerable-app /var/www/html
EXPOSE 80
CMD ["apache2ctl", "-D", "FOREGROUND"]

構建命令：

docker build -t my-vuln-app .
docker run -d -p 8080:80 my-vuln-app

2. 網絡配置技巧

自定義網絡隔離

# 創建專用網絡
docker network create vuln-net

# 將多個漏洞容器接入同一網絡
docker run -d --network vuln-net --name dvwa vulnerables/web-dvwa
docker run -d --network vuln-net --name juice-shop bkimminich/juice-shop

端口映射策略

# 隨機端口映射
docker run -d -P vulnerables/web-dvwa

# 指定主機端口
docker run -d -p 8081:80 vulnerables/web-dvwa

# IP綁定
docker run -d -p 192.168.1.100:8080:80 vulnerables/web-dvwa

3. 數據持久化方案

# 創建數據卷
docker volume create dvwa-data

# 掛載數據卷
docker run -d -p 8080:80 -v dvwa-data:/app/data vulnerables/web-dvwa

# 綁定主機目錄
docker run -d -p 8080:80 -v /path/on/host:/var/www/html vulnerables/web-dvwa

三、實戰演練：搭建WebGoat環境

1. 環境準備

docker pull webgoat/webgoat-8.0
docker run -d -p 8080:8080 -p 9090:9090 -e TZ=Asia/Shanghai webgoat/webgoat-8.0

2. 訪問配置

1. 瀏覽器訪問 http://localhost:8080/WebGoat
2. 使用默認賬號登錄（admin/admin）
3. 通過 http://localhost:9090 訪問管理界面

3. 典型漏洞練習

• SQL注入（A1）
• XSS攻擊（A3）
• CSRF攻擊（A5）
• 不安全的反序列化（A8）

四、安全注意事項

1. 容器安全原則

• 避免使用root用戶運行容器
• 定期更新基礎鏡像
• 限制容器資源使用
• 啟用容器運行時保護

2. 加固措施示例

# 非root用戶運行
docker run -u 1001 -d my-vuln-app

# 資源限制
docker run -d --memory="512m" --cpus="1" my-vuln-app

# 只讀文件系統
docker run -d --read-only my-vuln-app

3. 監控與日志

# 查看容器日志
docker logs <container_id>

# 資源監控
docker stats

# 安全檢查工具
docker scan my-vuln-app

五、擴展學習資源

1. 官方文檔：docs.docker.com
2. 漏洞環境集合：Vulhub
3. CTF平臺：CTFd with Docker
4. 安全工具鏡像：OWASP Zed Attack Proxy

提示：所有漏洞測試環境僅限本地學習使用，禁止在未授權環境下進行測試！ “`

本文共計約1850字，涵蓋了從Docker基礎到漏洞環境搭建的完整流程。通過實際操作示例和關鍵配置說明，幫助讀者快速構建安全的測試環境。建議在隔離的虛擬機或專用服務器中運行漏洞環境，避免影響生產系統。