Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Қосымшада ыңғайлырақҚосымшаны жүктеуге арналған QR
goole playappstore
RuStore · Samsung Galaxy Store
Huawei AppGallery · Xiaomi GetApps

автордың кітабынан сөз тіркестері  Безопасность контейнеров. Фундаментальный подход к защите контейнеризированных приложений
Лиз Райс

Ла Д.
Ла Д.дәйексөз келтірді2 апта бұрын
https://containerd.io/) и CRI-O (https://cri-o.io/) (который, прежде чем его безвозмездно передали CNCF, был частью Red Hat).
Комментарий жазу
Ла Д.
Ла Д.дәйексөз келтірді2 апта бұрын
Docker в 2017 году безвозмездно передала проект containerd фонду Cloud Native Computing Foundation (CNCF) (https://cncf.io/).
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
С точки зрения безопасности у pivot_root есть несколько преимуществ по сравнению с chroot, поэтому на практике в реализации среды выполнения контейнеров обычно можно встретить первую из них. Основное различие: pivot_root использует пространство имен монтирования, старый корневой каталог размонтируется и более не доступен внутри пространства имен монтирования. Системный же вызов chroot данный подход не использу
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
Подытожим: команда chroot буквально меняет корневой каталог процесса. После чего процесс (и его дочерние процессы) сможет обращаться только к файлам и каталогам, расположенным ниже в иерархии, чем этот новый корневой каталог.
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
. Просмотреть пространства имен на машине можно с по­мощью команды lsns:
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
При запуске контейнера среда выполнения создает для него новые контрольные группы. Утилита lscgroup (которую на Ubuntu можно установить с пакетом cgroup-tools) позволяет просмотреть эти контрольные группы на хост-компьютере. Поскольку их довольно много, посмотрим только на различия в контрольной группе memory до и после запуска нового контейнера с помощью команды runc. Сделайте снимок файловой системы контрольной группы memory:
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
Подробную информацию о привилегиях можно получить на машине под управлением Linux с помощью команды man capabilities
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
Можно также запретить его использование, прибегнув к флагу --no-new-privileges команды dockerrun.
Комментарий жазу
Александр Короленко
Александр Короленкодәйексөз келтірді1 ай бұрын
Найдите идентификатор процесса вашей командной оболочки, после чего в другом терминале, запущенном от имени суперпользователя, выполните strace -f -p <ID процесса командной оболочки> для трассировки всех системных вызовов, выполненных из этой командной оболочки, включая все запущенные в ней исполняемые файлы.
Комментарий жазу
Аня Л.
Аня Л.дәйексөз келтірді2 ай бұрын
рекомендую заглянуть в книгу Kubernetes Security издательства O’Reilly (https://oreil.ly/Of6yK)
Комментарий жазу