容器安全 - 通过SECCOMP过滤在容器中的风险操作

最新推荐文章于 2024-05-03 19:33:02 发布
最新推荐文章于 2024-05-03 19:33:02 发布
阅读量810 收藏 1
点赞数
分类专栏: 安全 DevOps 文章标签: 容器 安全 docker
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/121283581
版权

OpenShift 4.x HOL教程汇总

文章目录

通过SECCOMP过滤在容器中的风险操作

  1. 查看podman当前有关SECCOMP的配置
$ podman info | grep seccomp
    seccompEnabled: true
      libseccomp: 2.5.1
  1. 使用任意用户运行ubi镜像。
$ podman run -it registry.access.redhat.com/ubi7/ubi
  1. 在容器中执行命令,确认可以修改“/etc/hosts”属性,然后退出容器。
[root@f785305238e7 /]# chmod 777 /etc/hosts
[root@f785305238e7 /]# ls -al /etc/hosts
-rwxrwxrwx. 1 root root 199 Nov 12 07:12 /etc/hosts
[root@f785305238e7 /]# exit
exit
  1. 创建SECCOMP的策略文件,其中定义了缺省操作都是被允许的,但是通过“syscalls”定义过滤,"SCMP_ACT_ERRNO"阻止系统调用“fchmodat”。
$ cat << EOF > chmod.json
{
  "defaultAction": "SCMP_ACT_ALLOW",
  "syscalls": [
    {
      "name": "fchmodat",
      "action": "SCMP_ACT_ERRNO"
    }
  ]
}
EOF
  1. 运行ubi镜像,这次使用SECCOMP的策略文件。
$ podman run -it --security-opt seccomp=./chmod.json registry.access.redhat.com/ubi7/ubi
  1. 确认这次无法修改“/etc/hosts”属性,即便是root用户也不能修改。
[root@4703a74ad176 /]# chmod 777 /etc/hosts
chmod: changing permissions of '/etc/hosts': Operation not permitted

参考

https://github.com/docker/labs/blob/master/security/seccomp/README.md

dawnsky.liu
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
seccomp-tools:提供用于seccomp分析的强大工具
04-06
Seccomp工具 提供用于seccomp分析的强大工具。 该项目旨在(但不限于)分析CTF pwn挑战seccomp沙箱。 某些功能可能是CTF特有的,但对于在实际情况下分析seccomp仍然有用。 特征 转储-自动从执行文件转储seccomp-bpf。 Disasm-将bpf转换为人类可读的格式。 简单的反编译。 尽可能显示系统调用名称和参数。 丰富多彩的! Asm-编写seccomp规则是如此简单! mu-模拟seccomp规则。 支持多架构。 安装 在RubyGems.org上可用! $ gem install seccomp-tools 如果编译时失败,请尝试: sudo apt install gcc ruby-dev 并再次安装seccomp-tools。 命令行界面 seccomp工具 $ seccomp-tools --help # Usage:
easyseccomp:DSL语言编写seccomp过滤
02-12
一种领域特定的语言,用于以更简单的方式为容器定义seccomp配置文件,并具有对生成的BPF的更多控制,这是libseccomp可能的。 这篇博客文章更详细地解释了为何启动该项目: : seccomp配置文件可以定义为: // ...
seccomp介绍
热门推荐
mashimiao的专栏
06-22 2万+
什么是seccomp seccomp(全称securecomputing mode)是linuxkernel从2.6.23版本开始所支持的一种安全机制。 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,
2024年网络安全最全Sandbox的安全机制 —— 使用 seccomp(1)
最新发布
2401_84297618的博客
05-03 566
什么是seccompseccomp(全称 secure computing mode)是linux kernel从2.6.23版本开始所支持的一种安全机制。seccomp是一种内核安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的。比如劫持程序流后通过execve的syscall来。通过seccomp我们可以在程序禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了.通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,同时是程序进入一
linux3.5 Seccomp
lhj893614438的博客
01-20 203
Seccomp (即“"secure computing”的别名)是2.6.12版本重新加入的简单沙盒机制,用来确保系统调用处于受限状态(仅允许对已打开的文件进行exit, sigreturn, read 和 write操作)。Seccomp现在又增加了新功能:不再是有限并且确定的系统调用,Seccomp现在已经成了一种过滤机制,用来管理一个系统调用是否被禁止(和Berkeley Packet F...
SECCOMP
SHELLCODE_8BIT的博客
11-15 339
浅谈Linux SECCOMP安全机制在容器的使用 - 腾讯云开发者社区-腾讯云 (tencent.com)
kubernetes---Seccomp限制容器进程系统调用
m0_57911290的博客
01-16 9644
Seccomp 代表安全计算(Secure Computing)模式,自 2.6.12 版本以来,一直是 Linux 内核的一个特性。它可以用来沙箱化进程的权限,限制进程从用户态到内核态的调用。Kubernetes 能使你自动将加载到节点上的 seccomp 配置文件应用到你的 Pod 和容器。识别你的工作负载所需要的权限是很困难的。
golang-seccomp:为libseccomp进行绑定
05-19
Golang-seccomp项目是将libseccomp库与Go语言进行绑定,使得Go程序员无需理解和操作C语言的底层细节,就能直接在Go代码使用seccomp。这个绑定库已经移到了新的位置,意味着持续的维护和更新,以适应Go语言和...
nsjail:一个轻量级的进程隔离工具,利用Linux名称空间和seccomp-bpf syscall过滤器(借助kafel bpf语言)
02-02
在nsjailseccomp结合了**seccomp-bpf**,这是一种高效的数据包过滤语言,现在被用来过滤和控制系统调用。**Kafel** 是一种特定于seccomp-bpf的编程语言,允许定义细粒度的策略来指定哪些系统调用被允许,哪些被...
seccomp-compare
03-27
容器环境seccomp常用于增强容器安全性。Docker和Kubernetes等容器平台都支持配置seccomp策略。通过限制容器内的进程可以使用的系统调用,可以防止容器逃逸和其他安全问题。 例如,在Dockerfile,可以这样...
具有有用的网络和容器工具以及 SSH 的 docker映像_shell_代码_下载
06-15
这是一个带有大量通用容器工具的图像,供您在需要各种容器工具时使用:) 它通常针对安全评估工具 容器工具 etcdctl - 用于连接 etcd 实例 kubectl - 用于连接 Kubernetes API 服务器 还有用于旧集群的 kubectl112 和...
【云安全系列】Seccomp—云安全syscall防护利器
Rethinking the Kernel
10-28 5191
本文从 Seccomp 机制出发,在 linux 内核层面介绍了 Seccomp 可以实现的安全能力即对进程的系统调用限制能力。Kubernetes 为我们提供了可以对容器进行系统调用层面保护的接口即 Seccomp 能力。在云原生场景,通过使用 ebpf 的手段获取业务系统调用白名单,通过linux 内核支持的 Seccomp 机制对业务容器进行系统调用维度的防护,进而保证业务容器 syscall 层面的安全
kubernets CKS 3.3 Seccomp 限制容器进程系统调用
cloud_engineer的博客
07-08 304
对于 Linux 来说,用户层一切资源相关操作都需要通 过系统调用来完成;系统调用实现技术层次上解耦, 内核只关心系统调用API的实现,而不必关心谁调用的。 Seccomp(Secure computing mode) 是一个 Linux 内核安全模块,可用于应用进程允许使用的系统调用。...
Linux seccomp机制
、moddemod
06-19 1971
简介 seccomp是一种内核安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如程序劫持程序流后通过execve的syscall来getshell。通过seccomp我们可以在程序禁用掉某些syscall,这就就算劫持了程序流也只能调用部分的syscall了 演示 正常的系统调用,可以使用所有系统调用 #include<unistd.h> #include<sys/syscall.h> int main() { char * filename =
理解Seccomp
漫步量化
12-25 417
Seccomp seccomp (short for secure computing mode) is a computer security facility in the Linux kernel. seccomp allows a process to make a one-way transition into a “secure” state where it cannot make any system calls exit(), sigreturn(), read(), write() ..
上手 seccomp
龙瑜的博客
01-21 1941
NAME seccomp - operate on Secure Computing state of the process SYNOPSIS #include <linux/seccomp.h> #include <linux/filter.h> #include <linux/audit.h> #include <linux/signal.h> #include <sys/ptrace.h> int seccomp(unsigned i
linux安全seccomp
快乐时光
04-15 4186
介绍 seccomp按照字面意思可以理解为security computing,最早是作用于网格计算,主要通过限制进程的系统调用来完成部分沙箱隔离功能。 通过man prctl可以发现,seccomp的引入是在内核2.6.23,早期的seccomp主要限制read、write、exit以及sigreturn四个系统调用。内核3.5版本引入filter模式,将seccomp分成strict和filter两种。其strict依旧限制四种系统调用,而filter模式则借助了Berkeley ...
seccomp的学习
凌云俯瞰
04-01 8422
做pwn,用seccomp做沙箱保护很常见。有时候seccomp后面会跟一个结构体,趁此机会学习一把。 1、 简介 seccomp是一种内核安全机制,正常情况下,程序可以使用所有的syscall,这是不安全的,比如劫持程序流后通过execve的syscall来getshell.通过seccomp我们可以在程序禁用掉某些syscall,这样就算劫持了程序流也只能调用部分的syscall了. 2...
LINUX SECCOMP模块介绍
SHELLCODE_8BIT的博客
11-22 2906
Seccomp是 "secure computing" 的 缩写。Linux内核2.6.12版本(2005年3月8日)引入。是linux一个安全模块,用于限制程序系统调用;我们来看下例子。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值