本文介绍了云原生安全工具Falco的规则应用,包括自定义检测定时任务、意外出站连接、目录穿越攻击、数据库安全等多个方面,旨在提升容器环境的安全防护。
文章目录
- 1、自定义规则测试
- 2、自带规则详解部分
- 3、以下规则不在具体解析
-
-
- 3.1、检测suid提权
- 3.2、检测非授权用户尝试增删账户或者更新用户权限或密码等行为
- 3.3、检测从容器内联系k8s api的行为
- 3.4、检测集群内的容器访问暴露在nodeport服务上的端口
- 3.5、检测在容器中安装或者更新软件的行为
- 3.6、检测nc程序执行远程代码命令的情况
- 3.7、检测容器/主机内启动了可疑网络工具
- 3.8、检测使用命令行或者脚本搜索密码或者密钥等敏感信息的行为
- 3.9、指定的日志文件被不是白名单的程序尝试清空
- 3.10、监控进程进行大量删除文件
- 3.11、检测shell的history文件被修改或者清空的场景
- 3.12、检测在容器内使用远程复制程序的场景
- 3.13、检测给敏感文件/文件夹创建软/硬连接的行为
- 3.14、检测使用Stratum协议的挖矿进程
- 3.15、检测在容器内使用k8s客户端工具
- 3.16、检测在容器中新创建的数据包套接字(packet socket)
- 3.17、通过检测在容器内是否有将标准输出(STDOUT)或标准输入(STDIN)重定向到网络连接的行为来检测反弹shell的行为;
- 3.18、检测是否有内核模块在不被允许加载内核模块的容器里面被加载了
- 3.19、检测是否有在特权容器中访问 debugfs 的行为
- 3.20、检测在有特权的容器内发生的文件系统挂载操作
-
官方文档参考,
https://falco.org/docs/rules/
1、自定义规则测试
1.1、自定义检测定时任务的规则
这里falco自带了检测定时任务规则,但是默认没有启用,
估计是误报较多(比如cron有一些护进程自动调度的命令)
2、自带规则详解部分
2.1、意外的出站连接源(类似的还有入站连接)
订阅专栏 解锁全文
扫一扫
509
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
