Sysdig Falco:你不可不知的Docker安全监控利器

  • 时间:
  • 浏览:1
  • 来源:uu快3app赚钱_uu快3大小计划注册

检测攻击者在任意容器中运行交互式Shell。此警报中含在默认规则集中。我要我们先触发它看看,如保让 再查看规则定义。

哪些地方地方条件基于Sysdig系统调用过滤器,在你這個 具体情况下,当当我们当当我们过滤打开或OpenAT系统调用,打开模式写入和文件描述符。 要应用新配置文件,当当我们当当我们将重新启动Sysdig Falco容器:

docker run -d -P --name example1 nginxdocker ps

事件占据 器

当当我们当当我们第一有好几个 例子很简单:

如保让 用tail-f/var/log/falco_events.log查看日志,将看多检测到一些可疑行为,如保让 该容器模拟了各种典型的容器入侵和突破尝试:

在Docker主机上运行容器,这类Nginx:

docker restart falco

看吧,你這個 异常捕获得非常漂亮!Sysdig Falco通知显示了一有好几个 异常的应用应用系统进程。

第一有好几个 事件是如保让 运行交互式Shell写入/dev/tty,这是正常的和符合预期的。第好几个 事件是Falco检测到写入/usr的异常文件。

容器通常具有已定义且不老会 更改的挂载点集合。如保让 容器尝试在允许的目录集之外安装主机目录或文件,则如保让 是某人试图突破容器,如保让 是团队成员为容器开放了太久的权限。 我要我们为此示例下载配置文件的新版本:

退出容器并接着查看日志文件tail/var/log/falco_events.log,我能 发现有好几个 异常事件:

如保让 用tail/var/log/falco_events.log查看日志,如保让 会看多:

3、log文件创建

现在,都上能 生成一有好几个 新容器并尝试以下规则:



现在,请注意文件中的以下规则:

4、通过容器进行敏感挂载

mkdir /userdata



入侵检测和漏洞扫描可谓是主动发现安全哪些地方的问提的“内功外功”,在容器技术应用这么 广泛的今天,也都要被给予同样的重视。本文将探讨Docker入侵检测工具Sysdig Falco的基础知识以及如保检测容器的异常行为等哪些地方的问提。

docker exec -it example3 bash

2、检测规则的配

现在生成一有好几个 交互式Shell:

当当我们当当我们来看看中间使用的open_write宏:



并运行example2容器中的任意内容,这类ls:

现在当当我们当当当我们要运行一有好几个 新的Nginx容器:

二、有好几个 威胁场景的检测演示

docker run -d -P --name example4 -v/mnt:/tmp/mnt alpine

确实说Sysdig Falco是五种 审计工具,却与Seccomp或AppArmor等内核态的审计工具全然不同。Sysdig Falco在用户空间中运行,使用内核模块拦截系统调用,而一些这类工具在内核级别运行系统调用过滤或监控。用户空间实现的一有好几个 好处是都都都上能与Docker编排工具等外部系统集成。





Sysdig Falco是五种 旨在检测异常活动开源的系统行为监控应用系统进程。作为Linux主机入侵检测系统,对Docker依旧怪怪的有用,如保让 它支持容器上下文,如container.id、container.image或其规则的命名空间。

首先,把构建Sysdig Falco所都要的配置文件中放/etc/falco下:





touch /userdata/foo





下面开使进行有好几个 威胁场景的检测演示。

3、写入非用户数据目录

1、展示和输出相关的配置

原文发布时间为:2018-11-6



如保让 用>tail/var/log/falco_events.log来打开日志文件,当当我们当当我们应该都都都上能看多这类下面的log:



docker run -d -P --name example3 nginx

Docker最佳实践建议每个容器只运行一有好几个 应用应用系统进程,这在安全上也是非常有意义,如保让 我能 轻而易举的发现异常启动的应用应用系统进程。比如说你知道你的Nginx容器应该只运行Nginx应用应用系统进程,一些的任意应用应用系统进程都在异常的指标。我要我们为此示例下载配置文件的新版本:

这是一有好几个 相当复杂的规则,如保让 你现在还这么 删剪理解每个每段,但看多识别规则名称、描述、一些触发条件、事件输出以及Falco提供的一些上下文感知变量,如proc.name或%container.info,优先级和一些标签。这是Sysdig Falco的特有语法和配置原困的。



touch /usr/foo





这是监视容器敏感挂载的规则:

如保让 都要,我能 玩一下,如保让 运行exit失去容器Shell。

这次当当我们当当我们要是使用简单的文件输出来关注规则语法,但你也都上能 配置Sysdig Falco的自定义编程输出以向企业中的事件和报警系统发送通知。

总而言之,falco.yaml配置Falco服务,falco_rules.yaml配置威胁检测模式,falco_events.log将用作事件日志文件。

我要我们拉取镜像并启动事件生成器:

一、部署Sysdig Falco

(宏:成功运行新应用应用系统进程); ●  container(宏:运行它的命名空间属于容器而非主机); ●  以Nginx开头的container.image(容器属性:拥有每个授权应用应用系统进程列表的镜像名称); ●  不属于Nginx的proc.name

(Nginx:允许的应用应用系统进程名称列表)。

现在,都上能 生成一有好几个 新容器并尝试mount /mnt:

1、运行交互式Shell的容器

docker restart falco

docker run -d -P --name example2 nginx

如保让 ,当当我们当当我们都上能 从Docker Hub拉取镜像并启动Sysdig Falco容器,安装当当我们当当我们以前定义的配置文件:

touch /var/log/falco_events.log

Sysdig Falco通知显示它检测到敏感的挂载。

本文来自云栖社区合作者者伙伴“DBAplus社群”,了解相关信息都上能 关注“DBAplus社群”。

这是/etc/falco/falco_rules.yaml中触发事件的规则:



要应用新配置文件,当当我们当当我们将重新启动Sysdig Falco容器:



如保让 用tail/var/log/falco_events.log查看日志,都上能 看多这类下面的记录:

要应用新配置文件,当当我们当当我们将重新启动Sysdig Falco容器:

本文将从以下有好几个 安全威胁场景展示如保使用Sysdig Falco进行异常行为监控:

宏sensitive_mount中含禁用目录。

docker exec -it example1 bash

我要我们剖析这条规则的触发条件,每个条件都在缺一不可的:

容器不变性原困运行的容器删剪相同,它们不必对从镜像运行的软件进行任意更改,如保让 任意用户数据都占据 外部安装的卷中。当任意应用应用系统进程尝试写入非数据目录时,后来触发警报。 我要我们为此示例下载配置文件的新版本:



 ●  运行未经授权的应用应用系统进程; ●  写入非用户数据目录; ●  容器异常挂载。

读者将同時 扮演攻击者和防御者(系统管理员)角色,验证Sysdig Falco否是是已检测到入侵企图。

2、运行未经授权的应用应用系统进程

注意:如保让 不小心终止了容器或要我重新加载配置文件,随时都上能 重新启动Falco。

docker restart falco

本文作者:林伟壕

Falco有一有好几个 合成事件生成器,都上能 显示默认规则集的所有功能。这非常适合全面了解Sysdig Falco的所有功能。

本文介绍了Sysdig Falco的基础知识及其基于Docker部署上的操作。从内核系统调用和事件,Linux命名空间和特定于容器的元数据开使,都上能 配置安全警报,而不必修改或检测Docker镜像。

注意定义当当我们当当我们为Nginx定制的允许写入目录的宏:



默认具体情况下,它要是监视/proc,但在当当我们当当我们的配置文件中,当当我们当当我们如保让 修改为中含/mnt了。