OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(附视频)

已于 2024-06-27 11:24:32 修改
阅读量2.8k 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: kubernetes docker 安全 容器 openshift
于 2022-01-15 11:53:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/122463402
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.15 + RHACS 4.4.3 环境中进行验证。

文章目录

使用 RHACS 基线功能找出容器安全风险

  1. 在 OpenShift 控制台中部署测试镜像 registry.access.redhat.com/rhscl/httpd-24-rhel7,缺省的 Deployment 名称是 httpd-24-rhel7。
    在这里插入图片描述
  2. 在 RHACS 控制台的 Risk 中找到 httpd-24-rhel7 部署,可以在右侧的 RISK INDICATORS 中汇总了有关这个部署的风险。注意,当前 Policy Violations 中有 4 条记录。
    在这里插入图片描述
  3. 进入 PROCESS DISCOVERY,可以查看到曾经在容器中运行的进程。
    在这里插入图片描述
  4. PROCESS DISCOVERY 中找到下图显示的 Spec Container Baselines 区域,然后选择 httpd-24-rhel7 右方的“上锁”图标(此时上锁图标变为灰色),这样所有当前已知的进程就被加入到安全基线中。
    在这里插入图片描述
  5. 在 OpenShift 控制台中进入运行 “httpd-24-rhel7” 部署的 Pod,然后在终端中执行以下命令:
sh-4.2$ echo hello > /var/run/httpd/hello
sh-4.2$ find / -name hello 2>/dev/null
sh-4.2$ more /var/run/httpd/hello
sh-4.2$ curl -w "http_code:%{http_code} content_type:%{content_type}\n" -o /dev/null https://download-ib01.fedoraproject.org/pub/epel/7/x86_64/Packages/n/netcat-1.218-5.el7.x86_64.rpm

在这里插入图片描述

  1. 在 RHACS 控制台中再次查看 httpd-24-rhel7 部署的 Risk,确认现在 Policy Violations 已经多了 “Kubernetes Actions: Exec into Pod (severity: High)”。
    在这里插入图片描述

  2. PROCESS DISCOVERY 中确认已经出现红色记录,这些是没有在 “baseline” 中的运行进程。可以将 “/usr/bin/more” 和 “/usr/bin/sh” 加入到 baseline 中。
    在这里插入图片描述

  3. 查看 “/usr/bin/curl” 记录,可以查看执行参数。
    在这里插入图片描述

演示视频

视频1
视频2

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift-jee-sample:将在openshift环境部署的示例应用程序
04-01
openshift-jee-sample 将在openshift环境部署的示例应用程序 注意:要使用maven构建该存储库,必须指定“ -Popenshift”,例如“ mvn clean package -Popenshift
jmeter-openshift-jenkins:使用Jenkins管道在OpenShift运行容器化的JMeter测试
05-16
jmeter-openshift-詹金斯 此存储库包含Jenkinsfile,... 另一种策略是在Jenkins使用,但这并不能给您太多细节。 如果您仍然希望使用此插件,请在进行设置 如果您有任何疑问或反馈,请随时给我发送电子邮件!
OpenShift Security (2) - 安装 Red Hat Advanced Cluster SecurityRHACS
多恩斯基的博客
12-07 1268
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1264
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全视频
多恩斯基的博客
04-02 3562
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.10 环境进行验证。 在基于 DevSecOps 的应用发布过程,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。 但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。 参照《OpenShift 4
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(视频
多恩斯基的博客
12-22 1184
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 730
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
openshift-bower-install:npm软件包可在本地和openshift安装Bower软件包
05-23
5. **前端开发流程**:在OpenShift上,开发者可以使用"openshift-bower-install"来简化前端资源的安装,确保本地开发环境和云端环境的一致性。 6. **版本控制**:"master"分支通常代表项目的主线开发,开发者可以...
openshift-photo-album-app:一个演示应用程序,用于展示OpenShift容器对象存储桶声明功能
05-04
您可以使用oc get route -n openshift-storage获得此信息 部署应用oc apply -f photo_album_app_on_OCS_OBC.yaml $ oc apply -f photo_album_app_on_OCS_OBC.yaml objectbucketclaim.objectbucket.io/photo-album ...
openshift-java-client, OpenShift REST API的Java客户端.zip
09-18
openshift-java-client, OpenShift REST API的Java客户端 OpenShift客户端 OpenShift REST API的Java客户端。 它几乎提供了 rhc-* 命令行 工具( 。创建/重命名域,创建/销毁应用程序,列出应用程序,列出可用墨盒,...
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 502
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 内置了 NP-Guard 的核心功能使用 RHACS 的客户端可以对本地目录的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用风险 Registry(视频
多恩斯基的博客
07-28 378
RHACS 自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境部署来自安全风险docker.io 的容器镜像。............
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1038
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift Security 15 - 用 RHACS安全策略管理运行容器安全
多恩斯基的博客
01-15 2860
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 + RAHACS 环境进行验证。 创建 RHACS 的 Policy 创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。 { "policies": [ { "id": "e0a224d9-ca08-
OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS 防范风险视频
最新发布
多恩斯基的博客
11-03 339
本文是《容器安全 - 利用容器的特权配置实现对Kubernetes攻击》的后续篇,来介绍 在 OpenShift 环境容器特权配置和攻击过程和 Kubernetes 环境的差异。
OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS
多恩斯基的博客
07-17 598
本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台查看 OpenShift CIS 基线合规扫描结果。
用Trivy扫描容器镜像
多恩斯基的博客
12-20 609
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理的 OpenShiftKubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
Kubernetes安全解决方案--StackRox 安装篇
oasisss的博客
05-11 746
【版权声明】 本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com author: Huiling 转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/113753481 Linkedin: http://www.linkedin.com/in/huiling-miao-65872387/ Kubernetes安全解决方案–StackRox
精通OpenShift使用OpenShift Origin 3.9部署与管理容器应用
这涵盖了如何配置和管理OpenShift集群,以便在生产环境稳定运行。 在应用部署方面,书有深度的探讨,讲述了如何在OpenShift上部署应用程序。读者将学习如何建立端到端的交付管道,这对于开发者和DevOps团队来说...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值