监控容器运行时工具Falco
Falco简介
Falco架构
安装Falco
参考: https://falco.org/zh/docs/installation
# 倒数密钥
rpm --import https://falco.org/repo/falcosecurity-3672BA8F.asc
# 下载安装repo
curl -s -o /etc/yum.repos.d/falcosecurity.repo https://falco.org/repo/falcosecurity-rpm.repo
# 安装epel源
yum install epel-release -y
# 安装falco及依赖包
## sysdig依赖kernel-devel和dkms(动态内核模块支持)
### DKMS全称是Dynamic Kernel Module Support (动态内核模块支持),即在内核版本变动之后可以自动重新生成新驱动模块。
yum install kernel-devel* dkms falco -y
启用falco模块
# 启用模块
falco-driver-loader
# 查看模块是否启用
lsmod |grep falco
# 重启系统
reboot
设置falco服务开机自启动
# 设置falco服务开机自启并现在启动
systemctl enable --now falco
Falco配置文件目录:/etc/falco
falco.yaml
falco配置与输出告警通知方式
falco_rules.yaml
规则文件,默认已经定义很多威胁场景
falco_rules.local.yaml
自定义扩展规则文件
k8s_audit_rules.yaml
K8s审计日志规则