[CKS] falco扫描发现访问指定文件pod

已于 2024-11-25 12:45:22 修改
阅读量1.6k 收藏 10
点赞数 4
分类专栏: k8s 一周通过CKS 文章标签: kubernetes 安全 容器
于 2024-11-12 10:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/agjllxchjy/article/details/143697778
版权

目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1

​ 专栏其他文章:

BackGround

Pod行为不当,对系统构成安全威胁。

Task

属于应用程序ollama的一个Pod出现异常。它正从敏感文件/dev/mem直接访问系统的内存读取数据。

  • 首先,识别访问/dev/mem行为不当的Pod

  • 接下来,将行为不当PodDeployment缩放为零副本。

注意:
除缩小副本外,不要修改Deployment其他内容。
不要修改任何其他Deployment。
不要删除任何Deployment。

Practice

Step 1:创建falco规则,扫描访问/dev/memcontainer id

/etc/falco/falco_rules.local.yaml 文件中编辑新的自定义rules

- list: mem_file
  items: [/dev/mem] 
- rule: devmem
  desc: devmem
  condition: >
    fd.name in mem_file
  output: >
    Shell (command=%proc.cmdline,file=%fd.name,container_id=%container.id)
  priority: NOTICE
  tags: [file]

创建完成之后,可以运行如下命令进行扫描

sudo falco -M 30 -r /etc/falco/falco_rules.local.yaml

根据扫描结果,你可以看到访问/dev/mem的container id是0c27ee03096c,根据这个id可以找到对应的pod
在这里插入图片描述

Step 2:查找对应pod,根据container id

我们可以通过以下命令查找到对应的pod。

sudo crictl ps | grep 0c27ee03096c

我们可以看到对应的pod是cpu-65cf4d685c-lvnqk
在这里插入图片描述

Step 3: 查找对应的deployment根据pod

通过kubectl get deployment可以找到对应的deployment为cpu

Step 4:将deployment缩放为零副本

kubectl scale deployment --replicas=0 cpu

在这里插入图片描述

Kubernetes 安全专家(CKS)必过心得
wolaisongfendi的博客
08-29 3040
Kubernetes 认证安全专家 (CKS) 计划由云原生计算基金会 (CNCF) 与 Linux 基金会合作创建,旨在帮助开发 Kubernetes 生态系统。本分分享了CKS认证考试的通过新的,包括了注意事项以、备考方法、练习和一些真题分析。祝各位考试顺利通过!......
Kubernetes认证考试CKS主要知识点介绍
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-22 1130
CKS (Certified Kubernetes Security Specialist) 是由 Cloud Native Computing Foundation (CNCF) 提供的一项专注于 Kubernetes 安全领域的专业认证。该认证旨在验证考生在设计、实施和维护安全Kubernetes 集群方面的能力。
初识容器安全项目 Falco
Docker的专栏
03-27 823
为什么需要 Falco容器化普及进行的如火如荼,但是无论是公有云环境还是企业内部的容器化环境,都有可能会面对部分异常的用户行为,有些是有意为之,有些可能是无意之失,但是都可能给容器底层的...
[CKS] 利用falco进行容器日志捕捉和安全监控
最新发布
agjllxchjy的博客
11-10 1263
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于使用falco处理日志和安全监控的题目。
详解运行时安全检测神器:Falco
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
09-23 2624
在当今快速发展的云计算和容器技术时代,安全已成为组织面临的一大挑战。随着云原生应用的普及,传统的安全措施已不足以应对复杂的分布式环境。在这样的背景下,Falco应运而生,成为云原生安全领域的一颗新星。目前在github中,该项目已经拥有了7.3k的star,众多的企业级运行时安全检测引擎也基于该工具二次开发。
应用行为活动监测器 Sysdig Falco
pyzheng的专栏
05-19 1104
[url]http://www.oschina.net/p/sysdig-falco[/url] Sysdig Falco是一个开源的应用行为活动监测器,可以用来检测你的应用程序中的异常活动。并且Falcos可以连续监测应用、主机、网络传输中的任意一个节点的数据流,Falcos也支持一组可定制的规则。 Sysdig Falco可以检测任何行为,包括使Linux系统调用。由于sysdig核心...
Kubernetes CKS【21】---Runtime Security -主机与容器行为安全分析(strace、/proc、env、falco)
爱死亡机器人
05-24 900
文章目录1. 介绍2. Practice - Strace3. Practice - Strace and /proc on ETCD4. Practice - /proc and env variables5. Practice - Falco and Installation6. Practice - Use Falco to find malicious processes7. Practice - Investigate Falco rules8. Practice - Change Falco R
2024 CKS 题库 | 12、Sysdig & falco
aifeier的博客
02-25 1705
注意要写container name,而不是pod name,只是模拟环境里,pod name和container name一样,都是tomcat123)注意,考试时,你要通过上面命令grep pod name,然后你要记住的是container name。请注意,考试时,考题里已表明sysdig在工作节点上,所以你需要ssh到开头写的工作节点上。提示:如果考试时执行sysdig报错“Unable to load the driver”,则执行下面一条命令:(模拟环境里不需要执行)
备考指南:通过精选资源成为CKS专家
1. **Kubernetes Security Policy**:在Kubernetes集群中定义和管理安全策略是保障集群安全的核心,通常涉及到Pod Security Policies、Network Policies、RBAC(基于角色的访问控制)等。 2. **Pod Security Policy...
Certified-Kubernetes-Security-Specialist:精选的资源可帮助您准备CNCFLinux Foundation CKS 2021“ Kubernetes认证的安全专家”认证考试。 请提出问题或提出要求,以提供反馈或要求。 欢迎提供改进的所有反馈。 谢谢
02-04
- AppArmor是另一个安全模块,与Seccomp类似,用于限制进程的行为,创建安全配置文件来约束程序的访问权限。 4. **Falco**: - Falco是一个云原生安全监控框架,能够实时检测和响应不寻常的系统活动,有助于早期...
falco-analyze-audit-log-from-k3s-cluster:使用Falco通过审核日志检测Kubernetes集群中发生的入侵
05-09
使用Falco分析Kubernetes审核日志 Falco中有一个称为“事件源”的概念,这些“事件源”定义Falco可以在何处消费事件,并将规则应用于这些事件以检测异常行为。 目前,Falco支持以下事件源: 通过系统调用(syscall) (k8s_audit) 在本指南中,我们将使用“ Kubernetes审核日志”作为Falco可以使用的事件源。 目录 :toolbox: :wrapped_gift: :man::laptop: :eyes: 参考 先决条件 Kubernetes集群v1.20.2 tmux-cssh(或连接多个SSH服务器的另一种工具) kubectl v1.20.2 头盔v3.5.1 它对您有什么帮助? 您将学习: Kubernetes中审核日志的含义。 如何在Kubernetes中启用审核日志功能。 如何启用Falco项目中可用的嵌入式Web服务器。 Falcosidekick项目的
k8s-CKS真题-故障排查Sysdig & falco
关注网络安全、云原生安全
05-13 3138
博主下载的sysdig-0.31.5-x86_64.tar.gz,之后把可执行文件移动即可。请注意,考试时,考题里已表明 sysdig 在工作节点上,所以你需要。看了一下,是操作系统层面的问题,直接在模拟环境下做题了。在下方github参考链接的Release下载即可。查看tomcat123 pod是否存在。ubuntu 安装sysdig。如果没有docker,使用。查看一下falco是否安装。使用sysdig做检测。如果都没有,可以使用。写一个falco规则。
【翻译】了解GitLab如何使用Falco来检测代码依赖中的异常行为
超级码力
09-10 357
发布日期:2021年12月10日 项目文章最初发表于Falco博客,作者是Nate Magee和Vicente J. Jiménez Miras GitLab利用Falco与Package Hunter检测软件供应链攻击 GitLab在一个单一的应用程序中涵盖了整个软件开发生命周期。从管理、编码、部署到安全,都没有忘记协作。然而,在这样一个动态的环境中,要实现有信心的速度、无牺牲的安全和...
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
百慕卿君博客
05-27 4277
1、pod安全上下文Security Context,特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介,psp替代方案OPA Gatekeepe,包括rego模板、策略编写。 3、gvisor容器沙箱技术,与docker集成,与containerd集成。 4、Linux内核升级。
Kubernetes 安全学习手册(三)
龙哥盟
07-16 691
Kubernetes 审计是在 1.11 版本中引入的。Kubernetes 审计记录事件,例如创建部署,修补 pod,删除命名空间等,按照时间顺序进行记录。通过审计,Kubernetes 集群管理员能够回答以下问题:发生了什么?(创建了一个 pod,是什么类型的 pod)谁做的?(来自用户/管理员)发生在什么时候?(事件的时间戳)它发生在哪里?(Pod 是在哪个命名空间中创建的?
falco 使用(非常详细),零基础入门到精通,看这一篇就够了
隔壁王叔的博客
10-17 1993
falco 使用(非常详细),零基础入门到精通,看这一篇就够了
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 4009
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
falco 敏感信息检测
guoguangwu的专栏
05-05 1532
falco 检测不受信任程序读取敏感文件。 运行方式: ./userspace/falco/falco -c ../falco.yaml -r ../rules/falco_rules.yaml 测试命令: sudo cat /etc/shadow 日志 06:07:23.678922444: Warning Sensitive file opened for reading by non-trusted program (user=<NA> user_loginuid=1000 p
使用Falco检测Kubernetes安全问题简介
lfcncf的博客
01-11 1434
周五截止,你填了吗? 10人将获赠CNCF商店$100美元礼券! 来参与2020年CNCF中国云原生调查 问卷链接(https://www.wjx.cn/jq/97146486.aspx) 作者:Frederick Fernando。本文于2020年12月16日首次发表在InfraCloud的博客上。 我们来谈谈Kubernetes安全问题 随着Kubernetes的不断普及,了解如何保护它是很重要的。在Kubernetes等动态基础设施平台中,检测和处理威胁很重要,但同时也具有挑战性。 开源云原生运
评论 3
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葡萄皮Apple

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值