Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Қосымшада ыңғайлырақҚосымшаны жүктеуге арналған QR
goole playappstore
RuStore · Samsung Galaxy Store
Huawei AppGallery · Xiaomi GetApps

автордың кітабынан сөз тіркестері  Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Лиз Райс

Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
С точки зрения безопасности у pivot_root есть несколько преимуществ по сравнению с chroot, поэтому на практике в реализации среды выполнения контейнеров обычно можно встретить первую из них. Основное различие: pivot_root использует пространство имен монтирования, старый корневой каталог размонтируется и более не доступен внутри пространства имен монтирования. Системный же вызов chroot данный подход не использу
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
Подытожим: команда chroot буквально меняет корневой каталог процесса. После чего процесс (и его дочерние процессы) сможет обращаться только к файлам и каталогам, расположенным ниже в иерархии, чем этот новый корневой каталог.
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
. Просмотреть пространства имен на машине можно с по­мощью команды lsns:
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
При запуске контейнера среда выполнения создает для него новые контрольные группы. Утилита lscgroup (которую на Ubuntu можно установить с пакетом cgroup-tools) позволяет просмотреть эти контрольные группы на хост-компьютере. Поскольку их довольно много, посмотрим только на различия в контрольной группе memory до и после запуска нового контейнера с помощью команды runc. Сделайте снимок файловой системы контрольной группы memory:
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
Подробную информацию о привилегиях можно получить на машине под управлением Linux с помощью команды man capabilities
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
Можно также запретить его использование, прибегнув к флагу --no-new-privileges команды dockerrun.
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді3 апта бұрын
Найдите идентификатор процесса вашей командной оболочки, после чего в другом терминале, запущенном от имени суперпользователя, выполните strace -f -p <ID процесса командной оболочки> для трассировки всех системных вызовов, выполненных из этой командной оболочки, включая все запущенные в ней исполняемые файлы.
Комментарий жазу
Аня Л.
Аня Л.дәйексөз келтірді1 ай бұрын
рекомендую заглянуть в книгу Kubernetes Security издательства O’Reilly (https://oreil.ly/Of6yK)
Комментарий жазу
ILYA IGNATOV
ILYA IGNATOVдәйексөз келтірді2 ай бұрын
link set ve2 up
Комментарий жазу
ILYA IGNATOV
ILYA IGNATOVдәйексөз келтірді2 ай бұрын
Команда iplinkadd сообщает, что мы хотим добавить сетевое подключение.
Комментарий жазу