Shanton Mar 19 at 12:00

Как собрать контейнер и не вооружить хакера

15 min

13K

Конференции Олега Бунина (Онтико) corporate blogWBTECH corporate blogInformation Security*IT systems testing*Kubernetes*

+29

Comments 7

AlexeyK77 Mar 19 at 14:11

Спасибо большое за статью! +++
По вашему мнению, с каких мер вы бы сами начали усиливать безопасность, что бы общий эффект был максимальный с первых шагов. Особенно если в организации уже есть много чего своего и надо не поломать то, что работает:
distroless, средства статического и динамического анализа...?

Shaman_RSHU Mar 19 at 21:01

С повышения осведомленности руководителей в том, что данный процесс нудно делать. Без поддержки и понимания руководства необходимости процесса, на проведение любых работ не будет выделяться время и ресурсы. А конкретные средства - это зависит от специалистов, которые их будут использовать. Здесь не получится "включил и забыл", как раз таки после этого что-нибудь да поломается :)

sirmax123 Mar 19 at 16:00

автору статьи я желаю попробовать отдебагать проблему в проде, которая не воспроизводится на стейджинге, с контейнером собранным по его заветам, без рута и может даже без шелла и без возможности залить свой образ - доступ только через чужой расшаренный экран, команды для дебага надиктовывать инженеру который имеет доступ. Зато есть sla на время решения.

amarkevich Mar 19 at 18:34

автору комментария желаю научится писать код с логами, по которым будет понятно, в чём проблема

sirmax123 Mar 19 at 19:09

Автор комментария дебажит чужой код

Kahelman Mar 20 at 00:28

«Если бы строители строили дома так же как программисты пишут программы, то первый же залетевший дятел разрушил бы цивилизацию»

Сначала сделали docker который без рута работает через одно место и ещё надо постараться его запустить.

Потом стали откуда-то из интернета скачивать образы и запускать их в проде, поскольку поднять свой репозитарий не тривиальная задача и разработчики докера тоже хотят кушать.

При всем при этом, наплевали на всю историю развития Linux/Unix, поскольку сами с усами и у нас тут одно приложение в изолированной среде работает.

А потом удивляемся что все дырявое и подвержено атакам.

«Прогнило что-то в датском королевстве»

redfox0 Mar 28 at 19:09

Смотрю тут на пример профиля AppArmor. А если сделать жёсткую ссылку на bash и запускать по ссылке? Может быть, даже сработает.

У меня был случай, когда приложение из консоли запускалось, а из-под systemd под той же самой группой и пользователем - нет. Благо, что проблему быстро удалось локализовать (selinux) и додать файловых меток bin_t…