鐵人檔案
最近由於微服務的興起,所以Docker容器、kubernetes (K8S) 容器管理平台成為大家常用且關注的對象,也有很多前輩針對這些議題撰寫相關的鐵人賽文章。但常言道"資安即國安",我一直沒辦法找到一個完整系列文章來講解它們的安全議題。也因此 "怕痛的我把 Docker、K8s 攻擊、防禦、偵測力點滿就對了" 就此誕生。除了收集常見容器、K8s攻擊手法及演示之外,為了力求這系列的資安議題是完整的,針對防禦、偵測其餘兩大面向均會在此系列介紹到。就期許各位能夠在這個系列跟我一起燒腦成長,一起體會學習資安的痛苦與快樂(?)吧。
作業 11-1 題目 : 試著練習用之前建立的 Ubuntu 18.04 環境測試 (CVE-2022-0492) unshare + cgroup 特權...
作業11-2 : 在宿主機中 docker.sock 的 owner 是 root,而做完 user remapping 後進入容器的權限也是 root,...
Podman 介紹可以參考之前鐵人賽 Podman 淺談 - 為何你應該選擇 Podman 而不是 Docker? 系列的文章,講解的還蠻清楚的。安全相關...
觀念部分可參考 Container Sandboxing | gVisor、[Day8] Container Runtime - Security Con...
概念部分可以參考趨勢科技的 使用 Distroless 技巧來縮小容器映像並提升雲端資安,其中提到 Distroless 是一種的鏡像檔案,其中只包含應用...
作業 12 題目 : 透過以下指令建立容器,透過 nc 連到目標容器後,想辦法利用這次學習到的特性取得其他容器的 flag 檔案資訊。 docker ru...
這個主題就相對單純,主要是針對容器鏡像做安全檢測。那之前也提過容器鏡像實際上就是一個檔案系統,裡面由檔案所組成,而這些檔案包含了作業系統套件、應用程式及套...
作業13 : 假如今天資安策略是我只想要掃描容器內部跟應用程式有關的部分,那以 trivy 目前支援的方式是沒有辦法達到的。請各位利用Anchore Op...
Harbor 是一款開源的 Container Registry 解決方案,支援代理映像檔倉庫功能,並結合映像檔案掃描工具於抓取後進行第三方函式庫的弱點掃...
雖然前面整理了一些常見的容器逃逸手法,但攻擊手法日新月異,肯定會出現以往沒見過的攻擊方式。此時就需要有好的偵測機制作為輔助,除了可以針對異常的行為進行告警...
