iT邦幫忙

鐵人檔案

2023 iThome 鐵人賽
回列表
影片教學

怕痛的我把 Docker、K8s 攻擊、防禦、偵測力點滿就對了 系列

最近由於微服務的興起,所以Docker容器、kubernetes (K8S) 容器管理平台成為大家常用且關注的對象,也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道"資安即國安",我一直沒辦法找到一個完整系列文章來講解它們的安全議題。也因此 "怕痛的我把 Docker、K8s 攻擊、防禦、偵測力點滿就對了" 就此誕生。除了收集常見容器、K8s攻擊手法及演示之外,為了力求這系列的資安議題是完整的,針對防禦、偵測其餘兩大面向均會在此系列介紹到。就期許各位能夠在這個系列跟我一起燒腦成長,一起體會學習資安的痛苦與快樂(?)吧。

鐵人鍊成 | 共 63 篇文章 | 49 人訂閱 訂閱系列文 RSS系列文 團隊卍乂煞氣a工程師乂卍
DAY 1

Day01 - 開賽 (含作業1)

最近由於微服務的興起,所以Docker容器、K8s 容器管理平台成為大家常用且關注的對象,也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道&quot...

2023-09-09 ‧ 由 aeifkz 分享
DAY 1

Day01 - 作業1 解答 - 建立 CentOS 7 環境

作業1解答 作業1題目 用 CentOS 7 建立一個一樣的環境出來,大概就是 Server 版功能並且在上面安裝 docker (PS. CentOS...

2023-09-09 ‧ 由 aeifkz 分享
DAY 2

Day02 - (新手向) 容器基本操作介紹

前面先針對這次會用到的 docker 基本操作做簡易說明,如果你對 docker 很熟的話這邊就可以跳過了 。 Docker 的基本指令可以參考 Do...

2023-09-10 ‧ 由 aeifkz 分享
DAY 3

Day03 - 容器隔離概念介紹

虛擬機器(virtual machine),可建立一個環境模擬完整硬體的功能,可在上面安裝與宿主機器不同的作業系統,進而形成一個隔離環境進行測試。常見的免...

2023-09-11 ‧ 由 aeifkz 分享
DAY 4

Day04 - (攻擊) 容器逃逸手法 nsenter

所謂的容器逃逸就是突破宿主機作業系統的隔離限制,進而取得宿主機的控制權限。 在進行容器逃逸前先來確認一件事情。 docker run --rm...

2023-09-12 ‧ 由 aeifkz 分享
DAY 5

Day05 - (攻擊) 容器逃逸手法 - chroot、crontab (含作業2)

今天要介紹的容器逃逸手法為只開放 privileged 的特權容器,跟上周介紹的把 host pid 掛進去容器不同,這次條件會相對嚴苛一些,就只開放 p...

2023-09-13 ‧ 由 aeifkz 分享
DAY 5

Day05 - 作業2解答 - CentOS 7 特權容器掛載根目錄

作業2題目 可以試著建立 CentOS 7 的作業系統環境,並且試著透過特權容器掛載 Device 時會出現錯誤訊息如下所示,請想辦法克服這個問題。...

2023-09-13 ‧ 由 aeifkz 分享
DAY 6

Day06 - (攻擊) 容器逃逸手法 - cgroups 機制介紹及逃逸手法

今天要介紹的逃逸手法是透過 cgroups 的機制來觸發達到目的,但在使用該機制前我們來先了解一下 cgroups 大概是幹嘛的。 cgroups 是...

2023-09-14 ‧ 由 aeifkz 分享
DAY 7

Day07 - (攻擊) 容器逃逸手法 - linux module

參考資料 : Container Escape: All You Need is Cap 如果容器僅有給予 SYS_MODULE 的權限,則在有 ro...

2023-09-15 ‧ 由 aeifkz 分享
DAY 7

Day08 - (攻擊) 容器逃逸手法 - docker.sock

因為本篇篇幅比較少,所以跟Day07一起發佈 參考資料 : 容器逃逸手法實踐-危險配置與掛載篇,首先啟動容器,並將 docker.sock 掛載到...

2023-09-15 ‧ 由 aeifkz 分享