如何进行Docker入门以及漏洞测试环境搭建

# 如何进行Docker入门以及漏洞测试环境搭建

## 一、Docker技术入门

### 1. Docker核心概念

Docker是一种轻量级的容器化技术，通过以下核心组件实现环境隔离：

- **镜像（Image）**：只读模板，包含运行环境和应用程序
- **容器（Container）**：镜像的运行实例
- **Dockerfile**：自动化构建镜像的脚本文件
- **Registry**：镜像仓库（如Docker Hub）

### 2. 安装与配置

#### Linux系统安装（以Ubuntu为例）
```bash
# 卸载旧版本
sudo apt-get remove docker docker-engine docker.io containerd runc

# 安装依赖
sudo apt-get update
sudo apt-get install apt-transport-https ca-certificates curl gnupg lsb-release

# 添加官方GPG密钥
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /usr/share/keyrings/docker-archive-keyring.gpg

# 设置稳定版仓库
echo "deb [arch=amd64 signed-by=/usr/share/keyrings/docker-archive-keyring.gpg] https://download.docker.com/linux/ubuntu $(lsb_release -cs) stable" | sudo tee /etc/apt/sources.list.d/docker.list > /dev/null

# 安装Docker引擎
sudo apt-get update
sudo apt-get install docker-ce docker-ce-cli containerd.io

Windows/macOS

推荐使用Docker Desktop： 1. 访问docker官网 2. 下载对应系统的安装包 3. 按向导完成安装

3. 基础命令实践

# 查看版本信息
docker --version
docker info

# 镜像管理
docker pull ubuntu:20.04       # 拉取镜像
docker images                   # 查看本地镜像
docker rmi <image_id>          # 删除镜像

# 容器操作
docker run -it ubuntu bash     # 启动交互式容器
docker ps -a                   # 查看所有容器
docker start/stop <container> # 启停容器
docker exec -it <container> bash # 进入运行中的容器

二、漏洞测试环境搭建

1. 常见漏洞环境镜像

官方漏洞环境

# DVWA (Damn Vulnerable Web App)
docker pull vulnerables/web-dvwa
docker run -d -p 8080:80 vulnerables/web-dvwa

# OWASP Juice Shop
docker pull bkimminich/juice-shop
docker run -d -p 3000:3000 bkimminich/juice-shop

# Metasploitable2
docker pull tleemcjr/metasploitable2
docker run -d -p 80:80 -p 21:21 tleemcjr/metasploitable2

自定义环境构建

创建Dockerfile示例：

FROM ubuntu:20.04
RUN apt-get update && apt-get install -y \
    apache2 \
    php \
    mysql-server \
    && rm -rf /var/lib/apt/lists/*

COPY vulnerable-app /var/www/html
EXPOSE 80
CMD ["apache2ctl", "-D", "FOREGROUND"]

构建命令：

docker build -t my-vuln-app .
docker run -d -p 8080:80 my-vuln-app

2. 网络配置技巧

自定义网络隔离

# 创建专用网络
docker network create vuln-net

# 将多个漏洞容器接入同一网络
docker run -d --network vuln-net --name dvwa vulnerables/web-dvwa
docker run -d --network vuln-net --name juice-shop bkimminich/juice-shop

端口映射策略

# 随机端口映射
docker run -d -P vulnerables/web-dvwa

# 指定主机端口
docker run -d -p 8081:80 vulnerables/web-dvwa

# IP绑定
docker run -d -p 192.168.1.100:8080:80 vulnerables/web-dvwa

3. 数据持久化方案

# 创建数据卷
docker volume create dvwa-data

# 挂载数据卷
docker run -d -p 8080:80 -v dvwa-data:/app/data vulnerables/web-dvwa

# 绑定主机目录
docker run -d -p 8080:80 -v /path/on/host:/var/www/html vulnerables/web-dvwa

三、实战演练：搭建WebGoat环境

1. 环境准备

docker pull webgoat/webgoat-8.0
docker run -d -p 8080:8080 -p 9090:9090 -e TZ=Asia/Shanghai webgoat/webgoat-8.0

2. 访问配置

1. 浏览器访问 http://localhost:8080/WebGoat
2. 使用默认账号登录（admin/admin）
3. 通过 http://localhost:9090 访问管理界面

3. 典型漏洞练习

• SQL注入（A1）
• XSS攻击（A3）
• CSRF攻击（A5）
• 不安全的反序列化（A8）

四、安全注意事项

1. 容器安全原则

• 避免使用root用户运行容器
• 定期更新基础镜像
• 限制容器资源使用
• 启用容器运行时保护

2. 加固措施示例

# 非root用户运行
docker run -u 1001 -d my-vuln-app

# 资源限制
docker run -d --memory="512m" --cpus="1" my-vuln-app

# 只读文件系统
docker run -d --read-only my-vuln-app

3. 监控与日志

# 查看容器日志
docker logs <container_id>

# 资源监控
docker stats

# 安全检查工具
docker scan my-vuln-app

五、扩展学习资源

1. 官方文档：docs.docker.com
2. 漏洞环境集合：Vulhub
3. CTF平台：CTFd with Docker
4. 安全工具镜像：OWASP Zed Attack Proxy

提示：所有漏洞测试环境仅限本地学习使用，禁止在未授权环境下进行测试！ “`

本文共计约1850字，涵盖了从Docker基础到漏洞环境搭建的完整流程。通过实际操作示例和关键配置说明，帮助读者快速构建安全的测试环境。建议在隔离的虚拟机或专用服务器中运行漏洞环境，避免影响生产系统。