kubernetes--监控容器运行时:Falco

已于 2023-03-08 15:38:34 修改
阅读量3.3k 收藏
点赞数
分类专栏: kubenetes 文章标签: kubernetes linux docker 容器 安全
于 2023-03-08 15:38:17 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/129404547
版权

目录

Falco介绍

Falco架构

 Falco的安装

告警规则示列

威胁场景测试:

监控容器创建的不可信任进程(自定义规则)

 Falco支持五种输出告警方式falco.yaml:

Falco告警集中化展示:

Falco介绍

Falco是一个Linux安全工具,它使用系统调用来保护和监控系统。

       Falco最初是由Sysdig开发的,后来加入CNCF孵化器,成为首个加入CNCF的运行时安全项目。

       Falco提供了一组默认规则,可以监控内核态的异常行为,例如

  1. 对于系统目录/etc、/usr/bin、/usr/sbin的读写行为
  2. 文件所有权、访问权限的变更
  3. 从容器打开shell会话
  4. 容器生成新进程
  5. 特权容器启动

项目地址: https://github.com/falcosecurity/falco

Falco架构

rule engine:角色引擎,需要配置文件

通过内核中的模块检测系统调用,满足则输出到目标或者设备,手机和存储。支持对k8s审计日志的收集。

 Falco的安装

【】rpm --import https://falco.org/repo/falcosecurity-3672BA8F.asc

【】curl -s -o /etc/yum.repos.d/falcosecurity.repo https://falco.org/repo/falcosecurity-rpm.repo

【】yum install epel-release -y

#【】yum update  #更新系统,不更新系统会起不来。falco是一个守护进程

【】yum install falco -y

【】systemctl start falco

【】systemctl enable falco

【】lsmod|grep falco

报此错可以考虑升级内核3.10.0-1160.el7.x86_64

falco配置文件目录:/etc/falco

  1. falco.yaml   falco配置于输出告警通知方式
  2. falco_rules.yaml  规则文件,默认已经定义很多威胁场景
  3. falco_rules.loacl.yaml   自定义扩展规则文件
  4. k8s_audit_rules.yaml  K8s审计日志规则

安装文档:https://falco.org/zh/docs/installation

告警规则示列

(falco_rules.local.yaml):

- rule: The program "sudo" is run in a container
  desc: An event will trigger every time you run sudo in a container
  condition: evt.type = execve and evt.dir=< and container.id != host and proc.name = sudo
  output: "Sudo run in container (user=%user.name %container.info parent=%proc.pname 
cmdline=%proc.cmdline)"
  priority: ERROR
  tags: [users, container]

参数说明:

  1. rule:规则名称,唯一
  2. desc:规则的描述
  3. condition:条件表达式
  4. output:符合条件事件的输出格式
  5. priority:告警的优先级
  6. tags:本条规则的tags分类

威胁场景测试:

       falco_rules.yaml(默认规则),里面的写法和标准写法不太一样,好多是类似于变量的重复引用所以可以简写

1、监控系统二进制文件目录读写(默认规则) $PATH目录

2、监控根目录或者/root目录写入文件(默认规则)

3、监控运行交互式Shell的容器(默认规则)进入容器会被监控

4、监控容器创建的不可信任进程(自定义规则)

验证:tail -f /var/log/message

监控容器创建的不可信任进程(自定义规则)

监控容器创建的不可信任进程规则,在falco_rules.local.yaml文件添加:以nginx为例

- rule: Unauthorized process on nginx containers
  condition: spawned_process and container and container.image 
startswith nginx and not proc.name in (nginx)
#运行新镜像,必须是容器,并且容器镜像开头是nginx 并设置白名单
  desc: test
  output: "Unauthorized process on nginx containers (user=%user.name container_name=%container.name container_id=%container.id image=%container.image.repository shell=%proc.name parent=%proc.pname cmdline=%proc.cmdline terminal=%proc.tty)"
  priority: WARNING

condition表达式解读:

• spawned_process 运行新进程

• container 容器

• container.image startswith nginx 以nginx开头的容器镜像

• not proc.name in (nginx) 不属于nginx的进程名称(允许进程名称列表)

重启falco应用新配置文件:

systemctl restart falco

测试

 

 Falco支持五种输出告警方式falco.yaml:

  1. 输出到标准输出(默认启用)
  2. 输出到文件
  3. 输出到Syslog(默认启用)
  4. 输出到HTTP服务
  5. 输出到其他程序(命令行管道方式)

告警配置文件:/etc/falco/falco.yaml

例如输出到指定文件:将上面的json_output: false改为true  json方便后面的分析

file_output:
  enabled: true
  keep_alive: false#改为true是持续写入保持打开状态,false是有事件再打开写入	 
  filename: /var/log/falco_events.log

 上下两个也可以关了,没必要重复收集影响性能

Falco告警集中化展示:

 

  1. FalcoSideKick:一个集中收集并指定输出,支持大量方式输出,例如influxdb、Elasticsearch等

       项目地址:https://github.com/falcosecurity/falcosidekick

  1. FalcoSideKick-UI:告警通知集中图形展示系统

       项目地址 https://github.com/falcosecurity/falcosidekick-ui

部署Falco UI:

#输出给ui  falcosidekick收集数据,ui的容器端口为2802  数据接口是2801
docker run -d \
-p 2801:2801 \
--name falcosidekick \
-e WEBUI_URL=http://11.0.1.21:2802 \
falcosecurity/falcosidekick

 【】docker run -d -p 6379:6379 redislabs/redisearch:2.2.4


docker run -d \
-p 2802:2802 \
-e FALCOSIDEKICK_UI_REDIS_URL=11.0.1.21:6379 \
--name falcosidekick-ui \
falcosecurity/falcosidekick-ui

修改falco配置文件指定http方式输出:

json_output: true
json_include_output_property: true
http_output:
  enabled: true
  url: "http://192.168.31.71:2801/"

UI访问地址:http://192.168.31.71:2802/ui/

弓长丿
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
监控容器运行时工具Falco
识途老码
07-01 529
Falco简介
初识容器安全项目 Falco
weixin_41020960的博客
03-11 2634
1. 为什么需要 Falco容器化普及进行的如火如荼,但是无论是公有云环境还是企业内部的容器化环境,都有可能会面对部分异常的用户行为,有些是有意为之,有些可能是无意之失,但是都可能给容器底层的主机造成安全的隐患。 容器的工作模式是共享宿主机内核,从出道以来就面临着各种安全的问题,比如 Fork 炸弹会一直耗尽主机的进程资源、容器逃逸获取到主机各种资源等都可能带来安全隐患(部分安全隐患已经得到了有效的解决,但是仍然存在众多的情况会造成安全问题)。 业内也有诸如gVisor和Kata Conta...
k8s 中安装 falco
weixin_32196893的博客
07-14 862
参考资料:https://falco.org/zh/docs/installation/ 和 https://jishuin.proginn.com/p/763bfbd3012c 环境:kubernetes 17.3 docker模拟3个节点的集群 将Falco作为Kubernetes的DaemonSet运行 克隆Falco仓库并切换,清单目录 git clone https://github.com/falcosecurity/falco/ # 当前master分支,已经没有了integrations
利用Falco监控反弹Shell
蚁景网安学院
02-10 1014
点击"蓝字"关注,获取更多技术内容前言网络对抗愈加激烈,各种攻击手法层出不穷,在安全左移的同时,如何做到快速的应急响应,也是攻防中的一大重点。本文将以Falco为例,来达到反弹Shell的...
Falco 命令行参数解析
guoguangwu的专栏
05-02 1661
Falco使用cxxopts库来解析命令行参数 比如之前的运行方式为 sudo ./userspace/falco/falco -c ../falco.yaml -r ../rules/falco_rules.yaml 所以需要对-c 和-r两个参数进行解析。 对应代码在app_cmdline_options.cpp中: void cmdline_options::define() { m_cmdline_opts.add_options() ("h,help",
falco-analyze-audit-log-from-k3s-cluster:使用Falco通过审核日志检测Kubernetes集群中发生的入侵
05-09
使用Falco分析Kubernetes审核日志Falco中有一个称为“事件源”的概念,这些“事件源”定义Falco可以在何处消费事件,并将规则应用于这些事件以检测异常行为。 目前,Falco支持以下事件源: 通过系统调用(syscall) ...
falco:云原生运行时安全
02-02
Falco项目最初由创建,是一个孵化中的开源云原生运行时安全工具。 Falco可以轻松使用内核事件,并使用Kubernetes和其他云本机堆栈中的信息丰富这些事件。 Falco具有一组专门针对KubernetesLinux和云原生构建的...
Certified-Kubernetes-Security-Specialist:精选的资源可帮助您准备CNCFLinux Foundation CKS 2021“ Kubernetes认证的安全专家”认证考试。 请提出问题或提出要求,以提供反馈或要求。 欢迎提供改进的所有反馈。 谢谢
02-04
Certified-Kubernetes-Security-Specialist:精选的资源可帮助您准备CNCFLinux Foundation CKS 2021“ Kubernetes认证的安全专家”认证考试。 请提出问题或提出要求,以提供反馈或要求。 欢迎提供改进的所有反馈。 ...
k8s-sec:Kubernetes安全
05-16
Kubernetes安全性:从图像卫生到网络策略建筑容器图像工具: 进一步阅读: 在Kubernetes中建立图像来源和安全DockerKubernetes中的图像管理和可变性Kubernetes部署中的容器安全注意事项在Kubernetes安全地构建...
awesome-falco:与Falco相关的工具,框架和文章的精选清单
03-04
云原生运行时安全 -libsinsp,libscap,内核模块驱动程序和eBPF驱动程序源 一个简单的守护程序,可帮助您实现falco的输出 一个简单的WebUI,其中包含Falco的最新事件 -Falco的管理工具。 -Falco项目的演变过程 ...
Falco 简介
SHELLCODE_8BIT的博客
01-07 3413
Falco简介 什么是FalcoFalco是一款由Sysdig开源的进程异常行为检测工具。它既能够检测传统主机上的应用程序,也能够检测容器环境和云平台(主要是Kubernetes和Mesos)。 它能够检测所有涉及系统调用的进程行为。例如: 某容器中启动了一个shell 某服务进程创建了一个非预期类型的子进程 /etc/shadow文件被读写 /dev目录下创建了一个非设备文件 ls之类的常规系统工具向外进行了对外网络通信 此外,其还可以检测云环境下的特有行为。例如: 创建了带有特权容
第30关 k8s容器运行时安全监控 - Falco
博哥爱运维
01-22 952
Falco 是一款旨在检测应用中反常活动的行为监视器,由Sysdig的系统调用捕获基础设施驱动。您仅需为 Falco 撰写一套规则,即可在一处持续监测并监控容器、应用、主机及网络的异常活动。
docker部署open-falcon项目(夜莺监控系统)
weixin_43623068的博客
04-25 333
docker部署open-falcon项目。
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 2474
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
kubernetes 容器监控 Sysdig Falco
sxpnp的博客
01-09 972
如有问题,以你为准
3、云原生安全falco的部署
最新发布
划水的小白白
03-02 427
1、helm安装 2、安装clash-for-linux(可选)(建议安装) 3、安装faclo 4、安装nfs服务器,配置k8s的持久卷 4.1、创建nfs服务器, 4.2、部署master节点(nsf服务的客户端) 4.3、pv与pvc 4.4、假设pv和pvc的配置文件出错了 5、安装falcosidekick可视化(建议跳过,直接使用6) 6、安装faclo与falcosidekick 7、创建自定义检测规则 7.1、检测定时任务的查询与修改 8、一些补充 8.1、修改calico.yaml(出现报
K8S应用安全检测(调用分析 容器健康 审计日志)
m0_46690280的博客
07-10 821
专属状态命令。
Falco安全项目简介与部署
wsq0713的博客
01-14 1230
1、什么是Falco Falco是一款由Sysdig开源的进程异常行为检测工具。它既能够检测传统主机上的应用程序,也能够检测容器环境和云平台(主要是Kubernetes和Mesos)。 它能够检测所有涉及系统调用的进程行为。例如: 某容器中启动了一个shell 某服务进程创建了一个非预期类型的子进程 /etc/shadow文件被读写 /dev目录下创建了一个非设备文件 ls之类的常规系统工具向外进行了对外网络通信 此外,其还可以检测云环境下的特有行为。例如: 创建了带有特权容器、挂载敏感路径或使用了
使用Falco检测Kubernetes安全问题简介
lfcncf的博客
01-11 1321
周五截止,你填了吗? 10人将获赠CNCF商店$100美元礼券! 来参与2020年CNCF中国云原生调查 问卷链接(https://www.wjx.cn/jq/97146486.aspx) 作者:Frederick Fernando。本文于2020年12月16日首次发表在InfraCloud的博客上。 我们来谈谈Kubernetes安全问题 随着Kubernetes的不断普及,了解如何保护它是很重要的。在Kubernetes等动态基础设施平台中,检测和处理威胁很重要,但同时也具有挑战性。 开源云原生运
falco监控文件读写规则怎么写
06-01
Falco是一个开源的云原生安全项目,用于监控容器、主机和 Kubernetes 等环境下的安全事件。它通过将系统调用事件与规则匹配,来检测并报告潜在的安全问题。 关于监控文件读写规则的编写,可以参考以下步骤: 1. 确定规则类型:Falco支持多种规则类型,包括文件规则、网络规则、进程规则等。因此,你需要确定你要编写的规则属于哪种类型。 2. 确定监控对象:确定你要监控的文件路径和名称。可以指定具体的文件路径和名称,也可以使用通配符来监控一类文件。 3. 编写规则:Falco的规则语言是基于Sysdig的命令行工具编写的,语法类似于C语言。以下是一个简单的监控文件读写的规则示例: ``` - rule: File read or write desc: Detects file reads and writes condition: > evt.type=open and fd.name contains /path/to/file and (evt.type=read or evt.type=write) output: > File read or write by container (user=%user.name command=%proc.cmdline file=%fd.name) priority: WARNING ``` 该规则将监控文件路径为 /path/to/file 的文件读写事件,并在检测到事件时输出警告信息。 4. 测试规则:可以使用Falco提供的测试工具来测试规则的有效性和正确性。测试工具可以模拟系统调用事件,并检查规则是否匹配。 以上是简单的规则示例,具体规则的编写需要根据实际需求进行调整。同时需要注意,Falco的规则需要在系统中运行Falco服务才能生效。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值