автордың кітабынан сөз тіркестері Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Лиз Райс

Кітап туралы Пікірлер6 Дәйексөздер166 Қазір оқып жатыр1.7K Сөрелерде

Елена Василенкодәйексөз келтірді6 сағат бұрын

Контрольные группы позволяют контролировать ресурсы, доступные процессу, а пространства имен (namespaces) — ресурсы, которые он видит

Комментарий жазу

Елена Василенкодәйексөз келтірді6 сағат бұрын

Можно выполнять контейнеры с ограничением ресурсов, например объема оперативной памяти или доступных ресурсов CPU. Сделать все это позволяют возможности Linux, которые мы более подробно обсудим в данной главе

Комментарий жазу

Елена Василенкодәйексөз келтірді6 сағат бұрын

Если при наличии доступа к контейнеру через командную оболочку выполнить команду ps, то будут видны только работающие внутри него процессы.

Комментарий жазу

Елена Василенкодәйексөз келтірді7 сағат бұрын

Если не ограничить объем памяти, доступный процессу, то он может оставить без памяти другие процессы на том же хост-компьютере. Это может происходить либо непреднамеренно, в результате утечки памяти в приложении, либо в результате атаки на истощение ресурсов, при которой злоумышленник специально применяет утечку памяти, чтобы использовать как можно больше памяти.

Комментарий жазу

Елена Василенкодәйексөз келтірді7 сағат бұрын

Так, программное обеспечение веб-сервера может включать уязвимость, позволяющую злоумышленникам удаленно выполнять код, например уязвимость Struts (https://oreil.ly/ydu-a). Если веб-сервер запущен от имени суперпользователя, то весь код, удаленно выполняемый злоумышленником, будет запущен с полномочиями суперпользователя. Поэтому программное обеспечение желательно запускать от имени непривилегированных пользователей, насколько это возможно

Комментарий жазу

Елена Василенкодәйексөз келтірді8 сағат бұрын

Посмотреть список привилегий процесса позволяет команда getpcaps

Комментарий жазу

Елена Василенкодәйексөз келтірді8 сағат бұрын

Не все исполняемые файлы сбрасывают идентификатор пользователя подобным образом.

Комментарий жазу

Елена Василенкодәйексөз келтірді8 сағат бұрын

Если вы хотите изучить сами все это более подробно, то можете воспользоваться strace для просмотра системных вызовов исполняемого файла ping (или myping). Найдите идентификатор процесса вашей командной оболочки, после чего в другом терминале, запущенном от имени суперпользователя, выполните strace -f -p

Комментарий жазу

Елена Василенкодәйексөз келтірді8 сағат бұрын

менных версиях утилиты ping исполняемый файл запускается от имени root, после чего явным образом задает только нужные ему привилегии и сбрасывает свой UID в UID исходного пользователя. Именно это я имела в виду, когда говорила о прилагаемых ping усилиях.

Комментарий жазу

Елена Василенкодәйексөз келтірді8 сағат бұрын

Как видите, процесс не выполняется от имени root, несмотря на установленный бит setuid и то, что владельцем файла является root.

Комментарий жазу

автордың кітабынан сөз тіркестері Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложенийЛиз Райс

автордың кітабынан сөз тіркестері Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Лиз Райс