Docker安全第二话--安全监控

最新推荐文章于 2024-06-08 09:53:31 发布
最新推荐文章于 2024-06-08 09:53:31 发布
阅读量1k 收藏 1
点赞数
分类专栏: Docker安全 文章标签: 安全 虚拟化
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_37552052/article/details/78909631
版权

Docker安全监控

Falco概述

Falco是一款开源的行为监视器,旨在检测应用程序中的异常活动。 Falco由一系列规则组成,这些规则基于应用程序执行的系统调用来识别可疑行为。 Falco可以应用于容器环境、虚拟化环境、Linux物理主机环境

这里写图片描述

Falco安装

# curl -s -o /etc/apt/sources.list.d/draios.list https://s3.amazonaws.com/download.draios.com/stable/deb/draios.list
(PS : draios.list文件名根据不同的环境进行相应更改)

# apt-get update

# apt-get -y install falco

Falco规则编写

Falco是基于策略集来监控用户行为的,而这些策略集定义在yaml文件中:
这里写图片描述

falco.yaml定义常规配置以及使用哪些策略文件:
这里写图片描述

falco_rules.yaml是Falco官方提供的策略文件,里面定义了一些诸如敏感文件操作、异常socket连接、创建namespace等恶意行为的警告策略(PS:默认使用,但这里为了方便测试我将它注释了,只读取falco_rules.local.yaml的策略)

接下来我们编辑falco_rules.local.yaml:
这里写图片描述

- macro: container
  condition: container.id != host
  
宏定义一个container(container.id不是host)


- macro: spawned_process
  condition: evt.type = execve and evt.dir =<
  
宏定义了一个spawned_process(开始调用execve)


- rule: run_shell_in_container
  desc: A shell was spawned in a container
  condition: container and proc.name = bash and spawned_process and proc.pname exists and not proc.pname = docker
  output: "Your container [%container.name] making a suspicious behavior [spawn a bash]"
  priority: WARNING

rule:策略名
desc:描述
condition:策略,container宏,进程名bash,spawned_process宏,父进程存在,父进程名不是docker
output:输出
priority:等级


- macro: inbound
  condition: ((evt.type = listen and evt.dir=>) or (evt.type = accept and evt.dir=<))
  
宏定义一个inbound(开始调用listen()或结束调用accept())


- macro: outbound
  condition: evt.type = connect and evt.dir =< and (fd.typechar = 4 or fd.typechar = 6)
  
宏定义一个outbound(结束调用connect(),IPv4或IPv6)


- rule: network_connection_in_container
  desc: A network connection was made in a container
  condition: fd.sockfamily = ip and (inbound or outbound)
  output: "Your container [%container.name] making a suspicious     behavior [Create a network connection]"
  priority: WARNING

rule:策略名
desc:描述
condition:策略,sock类型ip,宏inbound,宏outbound
output:输出
priority:等级

策略语法手册:https://www.sysdig.org/wiki/sysdig-user-guide/

使用Falco对容器进行安全监控

启动falco
这里写图片描述
提示你的策略没有涵盖所有情况,我们现在只是测试,忽略此警告

现在我们启动一个ubuntu容器
这里写图片描述

在ubuntu容器中新启一个bash
这里写图片描述
falco检测到了ubuntu容器的spawn bash行为,并发出警告

在ubuntu容器中启一个反弹shell
这里写图片描述
当容器接收到C&C服务器的连接时Falco会发出警告

Falco原理

Falco构建在一个故障排除的核心软件之上。 具体来说,它使用sysdig内核模块进行syscall拦截和sysdig用户库进行状态跟踪和事件解析。 目前,它们都在数十万台机器上部署和运行。 这意味着非常好的稳定性,即使是最初的“0.1.0”版本。 另一方面,性能也是一个大问题。 当部署在负载大的主机和具有大量策略集的场景下,CPU负载会因为Falco而变得很大。

敏感的行为(例如上面的那些)被编译为规则部署在过滤器中。 每个规则都有一个关联的输出模板,用于指定发生匹配事件时要输出的信息。 请注意,falco不会对信息进行收集,警报,和修复。

Falco和其他安全监控工具的区别在于Falco运行在用户空间中,使用内核模块获取系统调用,其他工具在内核级执行系统调用过滤/监视。 这使得Falco可能受到攻击。 如果可以杀死/暂停 Falco进程,则可以禁用检测。 而其他工具在内核中替换一组加载的策略或BPF程序可能更困难。

G4rb3n
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker 镜像 容器 存储 网络 仓库 监控
春风吹尽叁佰里的博客
02-26 720
容器是一个进程,共用宿主机内核,docker cs架构 是一个软件的打包技术。 镜像 docker images 查看所有镜像 docker rmi 删除镜像 docker pull 从hub.docker.com上拉取镜像 docker search 从hub.docker.com上搜索镜像 docker load -i 从tar包导入镜像(一个tar包可以导入多个镜像) docker impo...
docker-and-containers-ebooks:一系列有关Docker和容器生态系统的电子书
05-21
该预览版整个系列的-第一本书中的,第二本书和第三本书中的。 我们希望您能与我们分享您的建议或反馈。 随时向我们发送拉取请求,或直接与我们分享。 如果我们不感谢我们的系列赞助商,我们将不知所措: 我们非常...
docker安全
wltxiyou的博客
08-13 186
系统基础安全实验 创建出的容器内存大小与虚拟机一致 docker run -it --name vm1 ubntu 查看内存状态free -m 对比虚拟机和容器 查看容器进程的namespace 可以看到vm1容器的namespace有六个 查看cgroup进程的路径 在/sys/fs/cgroup下 依次查看cpu,内存和容器的目录下的文件 在memory目录下新建目录时直接会从上级目...
推荐项目:Falco - 现代Django开发的得力助手
最新发布
gitblog_00096的博客
06-08 409
推荐项目:Falco - 现代Django开发的得力助手 项目地址:https://gitcode.com/Tobi-De/falco Falco是一个专为Django开发者设计的强大的工具集,它旨在提升你的开发体验并加速项目进程。这个开源项目不仅提供了一个命令行接口(CLI),方便你快速初始化项目和应用,还提供了一系列实用工具和指南,帮助你解决开发中的常见问题。 1. 项目介绍 Falco的核心...
安全审计报告_DockerENT:一针对Docker的运行时安全检测工具
weixin_39854730的博客
12-13 209
DockerENTDockerENT是一款运行时应用程序安全扫描工具(RAST),该工具基于Python开发,是一个扩展性极强的框架。该工具带有一个命令行接口应用程序和一个简洁的基于StreamLit是实现的Web接口。DockerENT是目前唯一一款能够针对运行时Docker容器和Docker网络进行漏洞分析和错误配置扫描的开源工具。DockerENT旨在检测生产部署中可能导致严重后果的安全性错...
容器安全检测工具之一:docker bench
m0_67403240的博客
04-12 537
docker bench 在github下载地址:GitHub - docker/docker-bench-security: The Docker Bench for Security is a script that checks for dozens of common best-practices around deploying Docker containers in production. Docker Bench是一个开源项目,该项目按照互联网安全中心(Center for Interne
kubernetes--监控容器运行时:Falco
m0_57911290的博客
03-08 3333
监控容器创建的不可信任进程规则,在falco_rules.local.yaml文件添加:以nginx为例#运行新镜像,必须是容器,并且容器镜像开头是nginx 并设置白名单desc: testcondition表达式解读:• spawned_process 运行新进程• container 容器• container.image startswith nginx 以nginx开头的容器镜像• not proc.name in (nginx) 不属于nginx的进程名称(允许进程名称列表)
PyPI 官网下载 | docker_charon-0.2.0-py3-none-any.whl
02-14
2. **容器**:这进一步确认了`docker_charon`是与容器化相关的工具或库,可能提供与管理Docker容器相关的功能,如启动、停止、迁移或者监控容器。 3. **运维**:这表明`docker_charon`可能是面向系统管理员或运维...
private-network-ipfs:利用Docker搭建IPFS私有网络
02-04
10. **监控与日志**:可以使用Docker内置的日志功能或第三方工具(如Logstash、Grafana等)来监控IPFS节点的状态和网络活动,以便及时发现和解决问题。 通过以上步骤,你就可以在Docker中成功搭建并管理一个IPFS...
docker-compose安装elasticsearch集群.docx
06-19
在本文中,我们将深入探讨如何使用`docker-compose`来安装Elasticsearch集群,以及相关配置文件的编写。...在实际操作中,确保遵循最佳实践,如数据备份、监控、安全性等,以确保集群的稳定性和数据安全性。
信息安全_2ddos与马场.1.pptx
08-14
《网络安全视角:构建DDoS防御体系与马场监控》 在当前的网络安全环境中,DDoS(Distributed Denial of Service)攻击已经成为一个严重威胁。针对DDoS攻击的检测预警系统虽然众多,但往往缺乏对攻击类型的精细化...
Falco安全项目扩展输出与自定义规则
wsq0713的博客
01-14 3225
Falco扩展输出与自定义规则 文章目录Falco扩展输出与自定义规则Falco以及Falcosidekick输出类型汇总ChatMetrics / ObservabilityAlertingLogsObject StorageFaaS / ServerlessMessage queue / StreamingEmailWeb部署Falco部署Falcosidekick自定义规则一、规则简介二、Rules规则2.1 Conditions条件2.2 Macros宏2.3 Lists列表三、附加到列表、规则和宏
falco 敏感信息检测
guoguangwu的专栏
05-05 1351
falco 检测不受信任程序读取敏感文件。 运行方式: ./userspace/falco/falco -c ../falco.yaml -r ../rules/falco_rules.yaml 测试命令: sudo cat /etc/shadow 日志 06:07:23.678922444: Warning Sensitive file opened for reading by non-trusted program (user=<NA> user_loginuid=1000 p
Falco 简介
SHELLCODE_8BIT的博客
01-07 3447
Falco简介 什么是FalcoFalco是一款由Sysdig开源的进程异常行为检测工具。它既能够检测传统主机上的应用程序,也能够检测容器环境和云平台(主要是Kubernetes和Mesos)。 它能够检测所有涉及系统调用的进程行为。例如: 某容器中启动了一个shell 某服务进程创建了一个非预期类型的子进程 /etc/shadow文件被读写 /dev目录下创建了一个非设备文件 ls之类的常规系统工具向外进行了对外网络通信 此外,其还可以检测云环境下的特有行为。例如: 创建了带有特权容
docker监控有哪些
weixin_42605397的博客
02-09 313
Docker 监控有以下几种方法: Docker 内置监控:通过 Docker CLI 和 API 来查看容器、镜像和宿主机的运行状态。 Docker 容器管理工具:如 Docker Compose 和 Docker Swarm,可以提供集中管理和监控 Docker 容器的功能。 第三方监控工具:如 Datadog、Prometheus 和 Grafana 等,可以提供更强大的监控功能,并可...
Ubantu docker学习笔记(九)容器监控 自带的监控+sysdig+scope+cAdvisor+prometheus
小唐同学超级呆的博客
04-30 4691
Sysdig 是一款命令行监控工具,因其轻量级的特点深受广大用户的喜爱。Svsdig 就像放大镜,使用户可以更清晰地看到宿主机与容器的各项行为。它相当干多种 Linux 监控工具的合集。同时docker上为我们提供了他的容器镜像!# -- privileged = true :赋予特殊权限;
docker监控
weixin_46715997的博客
06-04 836
温馨提示:文档都是手动敲的,有很多的中文空格,复制可能会出错! 当docker的坏境规模逐步变大后,我们的监控也就越来越重要了。 docker自带了监控命令:ps、top、stats等,还有几个开源的监控工具sysdig、weave、scope、cAdvisor和pormetheus。 一、docker自带的监控命令 1、ps: docker ps这个命令应该很熟悉了,可以看到容器当前的一个运行状态。它和docker container ls的命令用法一致。 docke...
掌握Docker容器监控:Docker命令与Prometheus的协同作战(上)
博客虽小,世界尽在其中
03-08 1393
随着容器技术的广泛应用,Docker容器监控成为确保系统稳定运行和性能优化的关键环节。本文将深入探讨Docker自带命令与Prometheus在容器监控中的协同实践。文章首先介绍了Docker自带命令在实时查看容器状态和性能方面的基本功能,包括docker top、docker stats等命令的使用方法和应用场景。接着,文章详细阐述了Prometheus在容器监控中的核心作用和优势,包括其灵活的数据采集、高效的数据存储与查询、开放的数据标准以及良好的可视化等特点。
Docker学习(8) 容器监控
wang_8218的博客
04-29 1575
Weave Scope是Docker和Kubernetes的可视化监控工具,它提供了至上而下的集群基础设施和应用的完整视图,使用户能够轻松对分布式的容器化应用进行实时监控和问题诊断。Weave Scope由两部分组成:Probe(或Agent)和App。Probe负责收集容器和宿主的信息,并发送给App;App则负责处理这些信息,并生成相应的报告,以交互式的形式展示。通过Weave Scope,用户可以直观地理解、监视和控制基于容器化微服务的应用程序。
docker安装gitlab-ce
06-06
Docker可以用来轻松地在容器中运行GitLab CE(Community Edition),这是一个开源的Git服务,提供了代码托管、持续集成/持续部署等功能。下面是使用Docker安装GitLab CE的基本步骤: 1. **安装Docker**: 首先确保你的系统上已经安装了Docker。如果你的系统是Linux,可以使用包管理器如apt或yum;如果是Windows或Mac,可以从Docker官网下载并安装。 2. **获取GitLab CE镜像**: 使用Docker Hub上的官方镜像,你可以运行`docker pull gitlab/gitlab-ce`来下载最新的GitLab CE镜像。 3. **运行GitLab容器**: 创建一个Docker运行命令,指定所需的端口映射和数据卷,以保存配置和数据。例如: ``` docker run -d \ --name gitlab \ -p 80:80 -p 443:443 -p 2222:22 \ --restart always \ -v /path/to/data:/var/opt/gitlab \ -v /path/to/config:/etc/gitlab \ gitlab/gitlab-ce ``` 这里 `-d` 表示后台运行,`-p` 映射端口,`--restart always` 确保容器重启时继续运行,`-v` 挂载主机目录到容器中的路径。 4. **设置环境**: 容器启动后,可能需要访问GitLab Web界面进行初始化设置,包括数据库连接信息、邮件服务器配置等。首次启动时,可能还需要完成一些基础的配置步骤。 5. **安全和认证**: 为了保护GitLab,确保配置了适当的安全措施,包括HTTPS(通常映射的443端口)和密码策略。 6. **监控和日志**: 为持久监控和问题排查,你可能需要查看Docker容器的日志和使用第三方工具对GitLab进行性能监控。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值