kubernetes之Seccomp

最新推荐文章于 2023-04-13 20:55:03 发布
最新推荐文章于 2023-04-13 20:55:03 发布
阅读量438 收藏 1
点赞数
文章标签: kubernetes linux 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40859395/article/details/122292138
版权

对于linux来说,用户层一切资源相关操作都需要通过系统调用来完成;系统调用实现技术层次上解耦,内核只关心系统调用Api的实现不关心谁调用的。

Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。
Seccomp在Kubernetes 1.3版本引入,在1.19版本成为GA版本,因此K8s中使用Seccomp可以通过以下两种方式:
1.19版本之前
annotations:
        seccomp.security.alpha.kubernetes.io/pod: "localhost/<profile>"

1.19版本+

apiVersion: v1
kind: Pod
metadata:
  name: hello-seccomp
spec:
  securityContext:
    seccompProfile:
      type: Localhost
      localhostProfile: <profile> # Pod所在宿主机上策略文件名,默认目录:/var/lib/kubelet/seccomp
  containers

示例:禁止容器使用chmod

mkdir /var/lib/kubelet/seccomp
vi /var/lib/kubelet/seccomp/chmod.json
{
        "defaultAction": "SCMP_ACT_ALLOW",
        "syscalls": [
                {
                        "names": [
                        "chmod"
                        ],
                        "action": "SCMP_ACT_ERRNO"
                }
        ]
}
defaultAction:在syscalls部分未定义的任何系统调用默认动作为允许
syscalls
        • names 系统调用名称,可以换行写多个
        • SCMP_ACT_ERRNO 阻止系统调用

叽叽喳喳323
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
绕过4netns:使用SECCOMP_IOCTL_NOTIF_ADDFD的slirp4netns加速器-C/C++开发
05-27
bypass4netns:使用SECCOMP_IOCTL_NOTIF_ADDFD(内核5.9)的slirp4netns的加速器。bypass4netns:使用SECCOMP_IOCTL_NOTIF_ADDFD(内核5.9)的slirp4netns的加速器。 当前版本的bypass4netns需要与slirp4netns结合使用,但是,将来的版本可能不需要slirp4netns。 项目名称仍可能更改。 基准工作负载:来自podman run的iperf3 -c HOST_IP --net = host(不安全):57.9 Gbps旁路4netns:56.5 Gbps slirp4netns:7.56 Gbps
seccomp-compare
03-27
Docker和Kubernetes容器平台都支持配置seccomp策略。通过限制容器内的进程可以使用的系统调用,可以防止容器逃逸和其他安全问题。 例如,在Dockerfile中,可以这样定义seccomp策略: ```Dockerfile RUN docker ...
Kubernetes CKS【24】---System Hardening - Kernel Hardening Tools(seccomp)
爱死亡机器人
01-06 3399
文章目录1. Seccomp介绍2. Practice - Seccomp for Docker Nginx3. Practice - Seccomp for Kubernetes Nginx 1. Seccomp介绍 2. Practice - Seccomp for Docker Nginx root@master:~/cks/apparmor# docker run --security-opt seccomp=default.json nginx /docker-entrypoint.
linux3.5 Seccomp
lhj893614438的博客
01-20 203
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2890
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
二十六、K8s系统强化2-seccomp与sysdig
tushanpeipei的博客
12-14 2246
Seccomp和sysdig在K8s环境中的运用
kubernetes_practice:kubernetes实践指南(内容不定期更新中。。。),欢迎提PR
02-03
3. **安全策略**:使用Network Policy控制Pod间通信,利用Seccomp和AppArmor增强容器安全性。 4. **备份与恢复**:定期备份etcd数据,使用Volume Snapshotting进行存储卷备份。 5. **多环境一致性**:使用Helm或...
Kubernetes、K8s运维架构师实战集训营【中高级】
09-15
例如,了解如何通过Horizontal Pod Autoscaler(HPA)自动调整Pod数量以适应负载变化,以及使用Seccomp和PodSecurityPolicies增强集群安全。 此外,课程可能还会讨论Kubernetes的最新特性和趋势,如Kubernetes ...
security-profiles-operator:Kubernetes安全配置文件操作员
02-10
该项目是Security Profiles Operator的起点,这是树外的Kubernetes增强功能,旨在使在Kubernetes中更轻松,更直接地管理和应用seccomp和AppArmor配置文件。 关于 该项目的动机可以在相应的找到。 对本项目有直接...
Rancher企业级Kubernetes管理平台 v2.7.9.zip
最新发布
04-02
它集成了一些安全工具,如CIS扫描,用于检查集群的合规性,以及Seccomp(Secure Computing)和AppArmor等容器安全策略,以限制容器的系统调用,防止恶意行为。同时,Rancher也提供了网络策略管理,帮助用户定义和...
k8s 的pod服务开启seccomp实验测试
weixin_45692576的博客
06-29 1546
最简单和最容易理解的定义 可能是 “系统调用防火墙”。 本质上是一种限制进程可能进行的系统调用的机制, 因此就像阻止来自某些 IP 的数据包一样,也可以阻止进程向 CPU 发送系统调用用处:Linux 内核有很多系统调用(几百个),但是任何给定进程都不需要它们中的大多数。但是,如果进程可能会受到损害并被欺骗使用其中一些系统调用,那么它可能会导致整个系统出现严重的安全问题。因此,限制哪些系统调用进程可以大大减少内核的攻击面。系统内核是否开启 功能: docker是否开启 功能如果您正在运行任何最新版本的
CKS-系统强化-SECcomp(sysdig)
weixin_45081220的博客
06-22 349
linux kernel从2.6.23版本开始所支持的一种安全机制Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,使程序进入一种“安全”的状态。官方说明 https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt我们系统有300多个系
用Regula和Open Policy Agent保护Kubernetes pod的安全
超级码力
03-30 286
客串文章,最初发表在Fugue的博客上,作者是Becki Lee Fugue最近在Regula中发布了对Kubernetes的支持,Regula是我们用于检查基础设施即代码的开源策略引擎。Regula不仅可以检查你的Terraform和CloudFormation文件的安全和合规性,现在还可以检查Kubernetes的YAML清单! 在这篇博文中,我们将演示如何在Kubernetes清单上运行R...
Kubernetes 容器安全 Seccomp 限制容器进程系统调用
小楼一夜听春雨,深巷明朝卖杏花
07-05 3939
Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。 容器实际上是宿主机上运行的一个进程,共享宿主机内核,如果所有容器都具有任何系统调用的能力,那么容器如果被入侵,就很轻松绕过容器隔离更改宿主机系统权限或者进入宿主机。 这就可以使用Seccomp机制限制容器系统调用,有效减少攻击面。 Linux发行版内置:CentOS、Ubuntu 在Kubernetes中使用Seccomp:Seccomp在K8
kubernets CKS 3.3 Seccomp 限制容器进程系统调用
cloud_engineer的博客
07-08 300
对于 Linux 来说,用户层一切资源相关操作都需要通 过系统调用来完成;系统调用实现技术层次上解耦, 内核只关心系统调用API的实现,而不必关心谁调用的。 Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。...
Kubernetes 集群启用 Pod 安全策略
云原生实验室
04-06 664
最近有客户反馈在开启了安全策略的集群中部署产品失败,因此研究了一下 Kubernetes 提供的 pod 安全策略。文中的演示和示例均在 v1.18.17 集群中通过验证。Pod Security PoliciesPod Security Policies (下文简称 psp 或 pod 安全策略)是一种集群级别的全局资源,能够对 pod 的创建和更新进行细粒度的授权控制...
kubernetes---Seccomp限制容器进程系统调用
m0_57911290的博客
01-16 9632
Seccomp 代表安全计算(Secure Computing)模式,自 2.6.12 版本以来,一直是 Linux 内核的一个特性。它可以用来沙箱化进程的权限,限制进程从用户态到内核态的调用。Kubernetes 能使你自动将加载到节点上的 seccomp 配置文件应用到你的 Pod 和容器。识别你的工作负载所需要的权限是很困难的。
Seccomp BPF 详细解析
x646602196的博客
04-13 1368
Secommp (SECure COMPuting) 是 Linux 内核 2.6.12 版本引入的安全模块,主要是用来限制某一进程可用的系统调用 (system call)。它最初被用于 cpushare 这个项目,让人们可以出租自己空闲的 cpu cycle 来执行 untrusted code。这个 feature 本身并不是一个沙盒 (sandbox),它只是一种减少 Linux 内核暴露的机制,是构建一个安全的沙盒的重要组成部分。
使用 pam module 与 seccomp 技术禁止用户加载内核模块
龙瑜的博客
08-21 785
在从 manual 中学习 seccomp 技术这篇文章中,我谈及了使用 seccomp 让用户无法加载内核模块的功能,在本文中尝试写个简单的 demo 来验证下可行性。
kubernetes落地shijian之旅
04-29
Kubernetes是当前最流行的容器编排平台之一,其强大的架构和功能让许多企业和团队选择将其落地应用于生产环境中。但是,Kubernetes的落地之旅并不是一条容易的道路。 首先,Kubernetes需要深入的学习和理解。由于其...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

叽叽喳喳323

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值