NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

2026-03-04 10:23:32 12点赞 41收藏 2评论

哈喽小伙伴们好,我是Stark-C~

郑重声明:本教程需要使用SSH终端的纯命令操作,新手小白可以学习下,不建议使用自己的NAS实机操作!!!

前两天NAS圈子里又发生了一起安全事故:知名镜像“青龙面板”爆出安全漏洞,攻击者可以利用此漏洞植入挖矿木马,会在设备中生成名为.fullgc的隐藏进程,导致CPU占用率持续异常升高,严重影响设备性能与系统稳定性。所以国内NAS厂商,包括极空间在内都将自家应用商店的青龙面板紧急下架(暂时)。

想不到吧?大家折腾NAS玩的最多的Docker项目,竟然也出现了安全问题。这让我们以后还怎么愉快的玩耍?

别担心,今天的教程就教大家如何保证NAS上的Docker安全的(准确的说是Docker镜像的安全)。

关于Trivy

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺Trivy 是 Aqua Security 开源的 一体化安全扫描工具(All-in-One Security Scanner),支持从本地文件系统到容器镜像、从 Git 仓库到 Kubernetes 集群的多维度扫描。覆盖容器、代码仓库、操作系统包、Kubernetes、云环境、IaC 配置等多种目标,是目前使用最广的开源安全扫描工具之一。

项目Github地址:https://github.com/aquasecurity/trivy

Trivy能干什么:

  • 已知漏洞(CVE)检测:扫描容器镜像、OS 包、语言依赖的漏洞。

  • IaC 配置错误:检测 Terraform、Kubernetes YAML 等基础设施代码中的安全风险。

  • 敏感信息泄露(Secrets):识别代码仓库或镜像中的密钥、Token 等。

  • SBOM 生成与分析:生成软件物料清单,帮助供应链安全治理。

  • 云环境安全检查:扫描 AWS 等云平台的配置风险。

  • Kubernetes 集群安全:检测集群中的风险配置与镜像漏洞。

Trivy体验

首先需要说明的是,Trivy是一个 CLI 工具,而不是我们常见的那种可以部署的Docker服务。那么什么是 CLI 工具呢?简单理解就是纯命令的使用方式,也就是说需要极空间开启SSH终端,使用终端工具连接之后,一直执行各种命令代码。

所以这里再次强调一遍:接下来的操作并不适用于新手小白用户!!!不过为了大家看清整个操作过程,我尽量不省略步骤。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺我们首先需要在极空间的文件管理器中创建一个“trivy”目录,这个目录的作用是缓存trivy漏洞数据库。要不然我们每次使用的时候都要重新下载漏洞数据库,麻烦不说,还非常的耗时。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺然后开启极空间的SSH,位置在“系统设置--远程协助/SSH--SSH”开启即可,这里主要记下端口号。需要说明的是,不使用SSH的时候一定记得手动将它关闭,很多远程入侵都是从这里突破进来的。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺然后需要一个SSH终端工具来链接极空间,SSH终端工具我这里演示的是FinalShell,填入主机(极空间的IP地址),端口(上步记下的端口),用户名(极空间登录用户名),和密码(极空间登录密码)。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺进来之后需要切换到root 用户身份,命令为“sudo -i”,之后会需要输入密码,密码就是极空间登录密码,输入密码的时候不会显示,输完之后直接回车即可,看到下一行显示”root“,就说明成功。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺接下来我们就可以正式执行trivy的扫描命令:

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v /tmp/zfsv3/sata11/XXXXXXXXXXX/data/Docker/trivy:/root/.cache/ aquasec/trivy:latest image whyour/qinglong

以上代码你需要修改的为:

  • 1,“ -v /tmp/zfsv3/sata11/XXXXXXXXXXX/data/Docker/trivy:/root/.cache/”这一行冒号前面的,映射的是你前面创建的“trivy”目录绝对路径。别问我它的绝对路径是什么,回到极空间的Docker管理器中的Compose中,复制一下路径粘贴过来即可。

  • 2,“aquasec/trivy:latest image whyour/qinglong”后面跟的是NAS中存在的完整镜像名称,我这里就以青龙面板为例,所以输入的是“whyour/qinglong”。

首次使用它会自动下载漏洞数据库到“trivy”目录,大家等待它下载完成即可输出扫描结果。

PS:不清楚这里需不需要互联网,我这边因为一直有旁路由,所以网络问题我在出教程的时候基本都忽视了~

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺但是它给出的结果是表格,目前能看出它检测到的有43个漏洞,但是对于我们非专业人员来说,完全看不懂啊,怎么办?

很简单,我们直接把结果喂给AI给我们分析即可。但是它的结果实在太多,很多AI工具都不支持一次输入这么多文字。怎么办?

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺所以我们可以将这些结果整理成一个txt文档,直接把文档扔给AI就可以了。怎么整理呢?也是使用命令:

docker run --rm -v /var/run/docker.sock:/var/run/docker.sock -v /tmp/zfsv3/sata11/XXXXXXXXXX/data/Docker/trivy:/root/.cache/ aquasec/trivy:latest image whyour/qinglong --output /root/.cache/qinglong.txt

其实就是在前面的命令后面加了一行“ --output /root/.cache/qinglong.txt”,意思是输出到“trivy”目录(容器内映射出来的),命名为“qinglong.txt”(这个可随意修改)。

Snipaste_2026-02-26_22-57-26Snipaste_2026-02-26_22-57-26

🔺然后我们就能在“trivy”目录中看到它输出过来的“qinglong.txt”文档,直接把这个文档上传到AI让它分析即可。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺比如说我们可以扔给了DeepSeek

Snipaste_2026-02-26_23-02-31Snipaste_2026-02-26_23-02-31

🔺它很快就给出了结论。但是它这个结论貌似有点危言耸听~

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺然后我又把这个结果给Copilot分析下,貌似它这边说的更靠谱一些。

NAS佬的天塌了!Docker也不安全了?快来部署一个安全扫描器吧

🔺它给出的结论是:青龙面板镜像本身是没问题的,问题出在它运行时遭受了攻击。比如说:

  • ① Qinglong 面板暴露在公网:攻击者扫描到你的面板端口,利用弱密码或未授权访问直接进入容器。

  • ② Qinglong 的 API 或脚本执行功能被滥用:攻击者利用任务订阅、定时任务、环境变量注入、远程脚本执行来执行恶意命令。

  • ③ 你拉取了恶意脚本(订阅源被污染):很多“青龙脚本库”本身就带后门,攻击者通过脚本执行挖矿程序。

这也符合此次曝光出来的青龙面板出问题的原因。

最后

本文我只是以青龙面板为例,展示了Trivy在NAS上的使用方式。说实话目前全网NAS教程中最多的就是Docker项目的部署,虽说绝大多数都是使用正规的Docker镜像,但是仍然不排除有少数教程使用的第三方,或者自制Docker镜像。谁能保证它们的安全呢?

所以这个时候,我们就可以先拉取镜像到本地,使用Trivy扫描一遍,没有问题在部署也不迟,这样总比盲目跟着教程直接启动容器要稳妥得多,尤其是在 NAS 这种“长期在线、权限较高、数据集中”的环境里。

目前极空间的各大NAS产品优惠继续,同时极空间部分产品还可享受白条3期或6期免息政策,180天内出现质量问题只换不修,2年官方质保。喜欢的小伙伴不要犹豫赶快入手吧,早买早享受~

好了,以上就是今天给大家分享的内容,我是爱分享的Stark-C,如果今天的内容对你有帮助请记得收藏,顺便点点关注,咱们下期再见!谢谢大家~

展开 收起
2评论

  • 精彩
  • 最新
  • docker爆出漏洞,快用docker安装一个检测工具吧

    校验提示文案

    提交
  • 绿联也是一样的操作吗?

    校验提示文案

    提交
提示信息

取消
确认
评论举报

相关文章推荐

更多精彩文章
更多精彩文章
最新文章 热门文章
41
扫一下,分享更方便,购买更轻松