kubernets CKS 3.3 Seccomp 限制容器进程系统调用

最新推荐文章于 2024-11-30 23:08:47 发布
原创 最新推荐文章于 2024-11-30 23:08:47 发布 · 443 阅读 · 1 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #docker #容器

本文介绍了Seccomp在Linux内核中的作用,它用于限制容器内的系统调用,增强安全性。在Kubernetes中,从1.3版本开始引入Seccomp,1.19版本成为GA特性,可以通过配置限制容器的系统调用行为。例如,通过创建一个禁止`chmod`系统调用的策略文件,可以阻止容器内的权限修改操作。Docker也有默认的系统调用限制配置。文中给出了在Kubernetes中配置Seccomp的实例,展示了如何创建和应用策略文件,最终当尝试在受限的容器中执行`chmod`时,会收到Operation not permitted的错误,证明了Seccomp的有效性。

对于 Linux 来说,用户层一切资源相关操作都需要通 过系统调用来完成;系统调用实现技术层次上解耦, 内核只关心系统调用API的实现,而不必关心谁调用的。
在这里插入图片描述

Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。
容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。
Linux发行版内置:CentOS、Ubuntu

3.3.1 Seccomp在K8S配置

Seccomp在Kubernetes 1.3版本引入,在1.19版本成为GA版本,因此K8s中使用Seccomp可以通过以下两种方式:
• 1.19版本之前

annotations: 
  seccomp.security.alpha.kubernetes.io/pod: "localhost/<profile>"

• 1.19版本+

apiVersion: v1 
kind: Pod 
metadata: 
  name: hello-seccomp 
spec: 
  securityContext: 
    seccompProfile: 
      type: Localhost 
      localhostProfile: <profile> # Pod所在宿主机上策略文件名,默认目录: /var/lib/kubelet/seccomp 
  containers: 
    ...

示例:禁止容器使用chmod

mkdir /var/lib/kubelet/seccomp
vi /var/lib/kubelet/seccomp/chmod.json
{
  "defaultAction": "SCMP_ACT_ALLOW",
  "syscalls": [
    {
      "names": [
      "chmod"
    ],
    "action": "SCMP_ACT_ERRNO"
    } 
  ] 
}

seccomp基本配置文件包括三个元素:
• defaultAction:在syscalls部分未定义的任何 系统调用默认动作为允许
• syscalls
• names 系统调用名称,可以换行写多个
• SCMP_ACT_ERRNO 阻止系统调用

3.3.2 docker默认容器进程系统调用限制

大多数容器运行时都提供一组允许或不允许的默认系统调用。通过使用 runtime/default 注释 或将
Pod 或容器的安全上下文中的 seccomp 类型设置为 RuntimeDefault,可以轻松地在 Kubernetes
中应用默认值。
Docker默认配置说明:https://docs.docker.com/engine/security/seccomp/

3.3.3 实例

在k8s21-worker01创建目录,并创立chmod.json文件:

[root@k8s21-worker01 ~]# mkdir /var/lib/kubelet/seccomp
[root@k8s21-worker01 ~]# vi /var/lib/kubelet/seccomp/chmod.json   
[root@k8s21-worker01 ~]# cat /var/lib/kubelet/seccomp/chmod.json
{
  "defaultAction": "SCMP_ACT_ALLOW",
  "syscalls": [
    {
      "names": [
      "chmod"
    ],
    "action": "SCMP_ACT_ERRNO"
    } 
  ] 
}

生成一个创建pod的yaml文件

kubectl run busybox0708 --image=busybox:1.28.4 --dry-run="client" -o yaml -- sleep 3600 > seccomp.yaml

修改配置seccomp.yaml ,强制调度到k8s21-worker01,并配置Seccomp相关配置

[root@k8s21-master01 ~]# cat seccomp.yaml                         
apiVersion: v1
kind: Pod
metadata:
  labels:
    run: busybox0708
  name: busybox0708
spec:
  securityContext: 
    seccompProfile: 
      type: Localhost 
      localhostProfile: chmod.json
  nodeName: k8s21-worker01
  containers:
  - args:
    - sleep
    - "3600"
    image: busybox:1.28.4
    name: busybox0708
  restartPolicy: Always
  [root@k8s21-master01 ~]# kubectl apply -f seccomp.yaml

进入pod执行chmod, 发现没有权限

[root@k8s21-master01 ~]# kubectl exec -it busybox0708 -- sh
/ # 
/ # 
/ # touch /root/wangjinxiong.txt
/ # chmod 777 /root/wangjinxiong.txt
chmod: /root/wangjinxiong.txt: Operation not permitted
/ #
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 3225
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
kubernetes--分析容器系统调用:Sysdig
m0_57911290的博客
03-06 3517
Sysdig是一个非常强大的系统监控分析和故障排查工具。汇聚strace+tcpdump+iftop+lsof工具功能为一身。sysdig除了能获取系统资源利用率、进程、网络连接、系统调等信息,还具备了很强的分析能力,例如:1.按照CPU使用率对进程排序2.按照数据包对进程排序3.打开最多文件描述符进程4.查看进程打开了哪些文件5.查看进程HTTP请求报文6.查看机器上容器列表及资源使用情况项目地址:https://github.com/draios/sysdig。
容器安全 - 通过SECCOMP过滤在容器中的风险操作
多恩斯基的博客
11-12 1006
《OpenShift 4.x HOL教程汇总》 文章目录通过SECCOMP过滤在容器中的风险操作参考 通过SECCOMP过滤在容器中的风险操作 查看podman当前有关SECCOMP的配置 $ podman info | grep seccomp seccompEnabled: true libseccomp: 2.5.1 使用任意用户运行ubi镜像。 $ podman run -it registry.access.redhat.com/ubi7/ubi 在容器中执行命令
Docker 容器隔离关键技术:Seccomp
最新发布
pumpkin84514的博客
11-30 1586
它通过限制系统调用的范围,减少攻击面,提升容器的隔离性。尽管默认启用了标准策略,但 Seccomp 可以根据需求进行自定义,进一步加强容器的安全性。是一种内核安全机制,用来限制容器内的程序可以调用哪些系统调用(Syscalls)。通过列清单的方式,Seccomp 可以指定哪些系统调用被允许、被拒绝或需要特殊处理,从而增强容器的安全性。特权容器的权限设计初衷是为了绕过所有安全限制,因此它会自动禁用 Seccomp。由于特权容器拥有宿主机级别的权限,攻击者可以轻易利用容器中的漏洞获取宿主机的控制权。
kubernetesSeccomp
qq_40859395的博客
01-06 577
对于linux来说,用户层一切资源相关操作都需要通过系统调用来完成;系统调用实现技术层次上解耦,内核只关心系统调用Api的实现不关心谁调用的。 Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用系统调用容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。
精选资源
Kubernetes CKS 考试题库(带解答和解析)
08-20
Kubernetes CKS 考试题库
2022版Kubernetes CKS认证备考实战班视频教程
教程内容覆盖了Kubernetes的安全架构、集群安全、网络策略、安全上下文、容器安全、API安全等多个方面,为学员提供了一套完整的文档资料,帮助他们在准备CKS认证考试时更有把握。" 1. Kubernetes(K8s)基础与架构 ...
Kubernetes CKS认证课程:实战安全专家训练
资源摘要信息:"KubernetesK8s CKS 认证实战班(安全专家)(第四期,2022年5月底结课)"课程涵盖了Kubernetes(K8s)相关的安全知识和实践操作,是面向希望获取CKS(Certified Kubernetes Security Specialist)认证...
精选资源
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
Kubernetes(K8s)是一种广泛使用的开源容器编排系统,它允许用户管理和部署分布式应用。CKS(Certified Kubernetes Security Specialist)认证则专注于Kubernetes的安全性,确保从业者能够识别并解决集群中的安全...
CKS-系统强化-SECcomp(sysdig)
weixin_45081220的博客
06-22 476
linux kernel从2.6.23版本开始所支持的一种安全机制 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,使程序进入一种“安全”的状态。官方说明 https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt我们系统有300多个系
Seccomp BPF 详细解析
x646602196的博客
04-13 2648
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
使用 pam module 与 seccomp 技术禁止用户加载内核模块
龙瑜的博客
08-21 1317
在从 manual 中学习 seccomp 技术这篇文章中,我谈及了使用 seccomp 让用户无法加载内核模块的功能,在本文中尝试写个简单的 demo 来验证下可行性。
渗透测试——漏洞扫描工具
wuli1024的博客
11-20 4135
然后还要将all这个压缩包里的plugin_feed_info.inc提取出来,命令行是 tar -zxvf all-2.0.tar.gz plugin_feed_info.inc,然鹅,我提取不出来。将下载好的插件移动到Nessus目录下,然后输入sudo /opt/nessus/sbin/nessuscli update all-2.0.tar.gz。用户名和密码随便写写就好,随后将会更新补丁,OK,这样Nessus可以使用了。将会获得一串数字,然后去激活码的这个网站,输入自己的邮箱获取激活码。
Dockerseccomp:保护Docker容器系统调用
ByteWhizX的博客
09-18 536
Dockerseccomp之间有着密切的联系,seccompDocker容器提供了一种保护机制,通过限制系统调用使用来减少攻击面。它提供了一个轻量级的虚拟化环境,使得应用程序可以在独立的容器中运行,而不会干扰主机操作系统或其他容器。通过使用seccomp,可以在容器限制特定系统调用使用,从而减少潜在的攻击面。下面我们将探讨Dockerseccomp之间的联系,并提供一些示例代码来演示如何在Docker容器使用seccomp。通过编写类似的规则,可以根据实际需求限制容器中的系统调用
k8s进阶5——AppArmor、Seccomp、ImagePolicyWebhook
百慕卿君博客
05-25 2664
1、AppArmor限制容器资源访问实战。 2、Seccomp限制容器进程系统调用实战,分别基于自定义策略和容器运行时默认策略。 3、ImagePolicyWebhook控制器实战
docker ip限制_Confine 拍了拍你,问要不要强化下你的 docker 容器
weixin_35334000的博客
12-29 1529
作者|绿盟科技 NS-SRC 潘雨晨刚才那个拍了拍你的 Confine 是一个可为Docker镜像生成Seccomp配置文件的框架,它通过减小容器可能遭受的Linux内核攻击面来强化容器。总体目标是在保证容器及其内部应用正常运行的前提下,过滤掉容器不需要的所有系统调用(syscalls),以缓解来自内核的漏洞攻击。那么问题来了, docker 已经有默认的 Seccomp 配置文件,...
Docker 中 jdk8容器里无法使用 JDK 的 jmap 等命令的问题
J_Lee
11-16 785
Docker 中 jdk8容器里无法使用 JDK 的 jmap 等命令的问题
docker基础
2301_80613136的博客
10-16 1110
公有云:适用于需要快速部署和弹性扩展,且对隐私和安全要求不高的企业。私有云:适合对数据安全、合规性有严格要求的企业,如金融、医疗、政府等。混合云:适合那些需要结合公有云的弹性和私有云的安全控制的企业,特别是那些需要分阶段迁移到云上或者处理大量敏感数据的企业。不同企业可以根据自身业务需求和预算选择适合的云计算模式。Docker是一个开源的应用容器引擎,基于Go语言开发并遵从Apache2.0协议。它允许开发者将应用及其依赖打包到一个可移植的容器中,然后发布到任何支持Docker的平台上。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值