鐵人檔案
最近由於微服務的興起,所以Docker容器、kubernetes (K8S) 容器管理平台成為大家常用且關注的對象,也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道"資安即國安",我一直沒辦法找到一個完整系列文章來講解它們的安全議題。也因此 "怕痛的我把 Docker、K8s 攻擊、防禦、偵測力點滿就對了" 就此誕生。除了收集常見容器、K8s攻擊手法及演示之外,為了力求這系列的資安議題是完整的,針對防禦、偵測其餘兩大面向均會在此系列介紹到。就期許各位能夠在這個系列跟我一起燒腦成長,一起體會學習資安的痛苦與快樂(?)吧。
最近由於微服務的興起,所以Docker容器、K8s 容器管理平台成為大家常用且關注的對象,也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道"...
作業1解答 作業1題目 用 CentOS 7 建立一個一樣的環境出來,大概就是 Server 版功能並且在上面安裝 docker (PS. CentOS...
前面先針對這次會用到的 docker 基本操作做簡易說明,如果你對 docker 很熟的話這邊就可以跳過了 。 Docker 的基本指令可以參考 Do...
虛擬機器(virtual machine),可建立一個環境模擬完整硬體的功能,可在上面安裝與宿主機器不同的作業系統,進而形成一個隔離環境進行測試。常見的免...
所謂的容器逃逸就是突破宿主機作業系統的隔離限制,進而取得宿主機的控制權限。 在進行容器逃逸前先來確認一件事情。 docker run --rm...
今天要介紹的容器逃逸手法為只開放 privileged 的特權容器,跟上周介紹的把 host pid 掛進去容器不同,這次條件會相對嚴苛一些,就只開放 p...
作業2題目 可以試著建立 CentOS 7 的作業系統環境,並且試著透過特權容器掛載 Device 時會出現錯誤訊息如下所示,請想辦法克服這個問題。...
今天要介紹的逃逸手法是透過 cgroups 的機制來觸發達到目的,但在使用該機制前我們來先了解一下 cgroups 大概是幹嘛的。 cgroups 是...
參考資料 : Container Escape: All You Need is Cap 如果容器僅有給予 SYS_MODULE 的權限,則在有 ro...
因為本篇篇幅比較少,所以跟Day07一起發佈 參考資料 : 容器逃逸手法實踐-危險配置與掛載篇,首先啟動容器,並將 docker.sock 掛載到...
