• 最近由於微服務的興起，所以Docker容器、K8s 容器管理平台成為大家常用且關注的對象，也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道"資安即國安"，一直沒辦法找到針對這些領域有一個完整系列來講解他們的安全議題，直到今年 Hitcon Training 2023 才開始有講師又開始針對這個議題來介紹，像是 HackerCat 的 "Container Security 容器安全之其實你不懂 Docker" 以及 Boik Su 的 "Kubernetes 安全實戰"。

• 但本著既然找不到就自己來做一個，所以今年鐵人賽的題目有可能會定為 怕痛的我，只好把 Docker、K8s 的攻擊、防禦、偵測點滿就對了。以下是這個系列賽預計會講解的章節跟篇幅 :

• 攻擊篇 Ch1 ~ Ch3 Day25 - (輕鬆系列) 一口氣看完 (攻擊篇) 第一季內容

  • Ch1. 容器介紹及逃逸手法

    • Day01- 開賽(含作業1)
    • Day01- 作業1解答 - 建立 CentOS 7 環境
    • Day02- 容器基本操作介紹
    • Day03- 容器隔離概念介紹
    • Day04- 容器逃逸手法 nsenter
    • Day05- 容器逃逸手法 - chroot、crontab
    • Day05- 作業2解答 - CentOS 7 特權容器掛載根目錄
    • Day06- cgroup 機制介紹及逃逸
    • Day07- linux module 逃逸
    • Day08- docker.sock 逃逸

  • Ch2. Kubernetes 介紹及 pod 逃逸手法

    • Day09- Kubernetes 架構介紹、環境安裝及操作
    • Day10- Kubernetes Service
    • Day11- Kubernetes 威脅矩陣介紹
    • Day12- Kubernetes pod 逃逸手法總複習
    • Day13- /var/log 目錄掛載逃逸(含作業3-1、3-2)
    • Day27-作業3-1 解答 - 撰寫腳本讀取 kubectl logs 的資訊
    • Day27-作業3-2 解答 - 讀取 k8s 金鑰檔案進行簽發高權限憑證
    • Day14- CVE-2022-0492 逃逸

  • Ch3. Kubernetes 攻擊手法介紹 (RBAC、內部元件)

    • Day15- RBAC介紹
    • Day16- 攻擊 K8s RBAC 機制(含作業4)
    • Day16- 作業4 解答 - 撰寫腳本建立 context 並且套用
    • Day17- k8s Certificate Signing 提權 (含作業5)
    • Day17 - 作業5 解答 - 調整腳本套用憑證資訊以及取得讀取 Pod 權限
    • Day18- apiserver、kubectl-proxy 利用
    • Day19- kubelet 利用
    • Day19- etcd、Secrets 特性
    • Day20- K8s Networking 連通測試
    • Day21- arp spoof 利用(含作業6)
    • Day32 - 作業6 解答 - 成功安裝 ksniff 插件並且進行 pod 監聽
    • Day22- Kubernetes 汙染橫移
    • Day24- CVE-2022-21701 提權

• 容器防禦、偵測篇 Ch4 ~ Ch8

  • Ch4. 容器防禦機制介紹 [Day 25- Container Defense 項目介紹]
    • Day26- Container Seccomp (Secure Computing) 介紹
    • Day27- AppArmor 機制介紹 (含作業7)
    • Day27- 作業7 解答 - 熟悉 AppArmor 特性
    • Day28- Container AppArmor 介紹 (含作業8)
    • Day29 - 作業8 解答 - 測試 cap-add ALL 以及 host pid 的逃逸手法
    • Day 30 - SELinux 防禦機制初體驗
    • Day 33 - Container SELinux 防禦機制
    • Day 33 - 作業 9 解答 - 測試 cap-add ALL 以及 host pid 的逃逸手法 (SELinux)
  • Ch5. 安全容器介紹
    • Day 34 - Non-Root User 容器介紹 (含作業10-1、10-2)
    • Day 34 - 作業 10-1 解答 - 尋找具有 CVE-2022-0492 的漏洞版本及測試
    • Day 34 - 作業 10-2 解答 - 建立 CVE-2022-0492 的漏洞環境及測試
    • Day 35 - 總結 Container 執行安全參數
  • Ch6. 強化隔離機制
    • Day 36 - User Remapping 安全機制介紹 (含作業11-1、11-2)
    • Day 36 - 作業 11-1 解答 - 驗證 user remapping 防禦 CVE-2022-0492 漏洞攻擊
    • Day 36 - 作業 11-2 解答 - 驗證 user remapping 防禦 docker.sock 掛載攻擊
    • Day 37 - Redhat podman 介紹
    • [Day 38 - gVisor]
  • Ch7. 安全鏡像機制介紹
    • [Day 39 - Distroless Container]
    • [Day 40 - trivy]
    • [Day 41 - harbor]
  • Ch8. 容器行為偵測機制介紹
    • [Day 42 - falco]

• Kubernetes 防禦、偵測篇 Ch9 ~ Ch10

  • Ch9. Kubernetes 防禦機制介紹
    • 待續
  • Ch10. Kubernetes 偵測機制介紹
    • 待續

• 期中考試

  • Day23- Kubernetes CTF 期中考
  • Day31- Kubernetes CTF 期中考 WriteUp - 1
  • Day32- Kubernetes CTF 期中考 WriteUp - 2

• 期末考試

  • 懶得出期末考惹

• 雖然今天只是開賽，但不免俗地還是要介紹一下相關背景以及建立基本的操作環境。

• Container 是一種作業系統虛擬化的形式。其內部包含所有必要的執行檔、二進位程式碼、程式庫和組態檔。與虛擬機相比，Container 所使用的資源是作業系統虛擬化出來的，因此無須包含作業系統層。這使它們更輕巧、執行效能更高。

來源: Difference between VM vs Docker

• 但在大型的應用程式部署中，可能需要面臨控管數十個甚至是數百個容器的管理，假如都要手動進行部署、重啟、擴張等需求勢必會增加許多管理成本。這時候就需要Container Orchestrator 類的平台來協助管理，例如 Kubernetes。

• 依照 wiki 定義，Kubernetes（常簡稱為K8s）是用於自動部署、擴充和管理「容器化（containerized）應用程式」的開源系統。而 Kubernetes 的系統架構圖參考如下，這邊先不細說裡面有甚麼，總之可以觀察出來多了不少元件。

• 但 Kubernetes 多了更多元件，也意味著更多的可能被攻擊的機會，也因此本系列就是要從容器安全開始一路講到 Kubernetes 的安全。從建置環境、攻擊環境開始一路講到如何防禦、偵測這些攻擊。本次會用到的作業系統以及相關軟體參考如下 :

• 相關作業系統參考如下 :

  • Linux - Ubuntu 22.04、CentOS 7
  • Linux kernel - v5.16.20(Ubuntu)

• 使用軟體如下 :

  • Docker - 20.10.21
  • minikube - v1.30.1
  • Kubernetes - v1.26.3
  • 虛擬機架設工具 - VirtualBox (記得先確認 檔案-> 工具 -> Network Manager 有沒有新增好 VirtualBox Host-Only Enternet Adapter)

• 第一天先來準備使用環境，為了方便到時候期中考、期末考回復環境，建議使用 VirtualBox 方便做快照跟還原。安裝步驟可以參考 Day13 - Pwnkit 可不可以讓我提權一下下就好。

1. 打開 VirtualBox，點擊主機網路管理員，如果沒有的話新增一張
2. VM 規格 - 2CPU、2GB Memory、20GB Disk、網卡(NAT、限主機介面卡)
3. 安裝幾乎都下一步下一步，硬碟選擇不要 LVM，安裝完成後重新開機
4. 安裝常用套件，以下自行參考，之後有缺再裝也可以

sudo apt update ;
sudo apt install net-tools ncat -y ;

5. 參考Day20 - 如果我沒看錯，你就是簽章中的霸主~ 心靈簽章 去切換安裝 kernel 版本

# 下載 v5.16.20 相關檔案 
wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.16.20/amd64/linux-headers-5.16.20-051620-generic_5.16.20-051620.202204131933_amd64.deb ;
wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.16.20/amd64/linux-headers-5.16.20-051620_5.16.20-051620.202204131933_all.deb ;
wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.16.20/amd64/linux-image-unsigned-5.16.20-051620-generic_5.16.20-051620.202204131933_amd64.deb ;
wget https://kernel.ubuntu.com/~kernel-ppa/mainline/v5.16.20/amd64/linux-modules-5.16.20-051620-generic_5.16.20-051620.202204131933_amd64.deb ;

# 不要一個個安裝，會失敗，讓系統自己決定相依性
sudo dpkg -i *.deb ;
sudo update-grub ;
sudo shutdown -r now ;

#理論上會顯示 5.16.20-051620-generic
uname -r ;  

6. 參考 官網 安裝 docker

sudo apt-get update ;
sudo apt-get install ca-certificates curl gnupg -y ;
sudo install -m 0755 -d /etc/apt/keyrings ;
curl -fsSL https://download.docker.com/linux/ubuntu/gpg | sudo gpg --dearmor -o /etc/apt/keyrings/docker.gpg ;
sudo chmod a+r /etc/apt/keyrings/docker.gpg ;
echo \
  "deb [arch="$(dpkg --print-architecture)" signed-by=/etc/apt/keyrings/docker.gpg] https://download.docker.com/linux/ubuntu \
  "$(. /etc/os-release && echo "$VERSION_CODENAME")" stable" | \
  sudo tee /etc/apt/sources.list.d/docker.list > /dev/null ;
sudo apt-get update ;
sudo apt-get install docker-ce docker-ce-cli containerd.io docker-buildx-plugin docker-compose-plugin -y ;

# 應該要失敗，除非你是 root
docker ps ; 

#把目前帳號加到 docker 群組中
sudo usermod -aG docker $(whoami) ;

#登出後再登入
exit ;

# 應該會成功了吧?
docker ps ; 

• 大概今天就到這邊了，針對今天的環境可以先建立一個快照，方便之後期中考切回來做使用。

• 作業1 : 第一天就有回家作業了 ，因為後期會用到 CentOS 的環境，所以練習用 CentOS 7 建立一個一樣的環境出來，大概就是 Server 版功能並且在上面安裝 docker (PS. CentOS kernel版本部分無須更動)。到時候期中考會用到這台機器喔~~!!!! (提示: 要記得去 /etc/sysconfig/network-scripts/ifcfg-XXX 設定 ONBOOT=yes)

• 今日總結 :

  • 本日回顧 :
    • 大概說明了這次鐵人賽的目標也就是針對容器跟K8s的安全作介紹。然後第一天不囉嗦直接開建安裝完 Docker 環境出來用。
  • 次日預告 :
    • 考量到未必每個人都用過 Docker，所以明天會整理一些這次鐵人賽會用到的基本指令做說明。當然假如你對 Docker 很熟的話就可以休息一次啦!!!!