질문 저는 컨테이너 보안 분야에서 인턴으로 근무하고 있으며 최근 몇 가지 테스트를 수행하기 위해 보안 문제가 있는 컨테이너를 구축해야 했습니다. 이것은 내 도커 파일입니다 FROM dockerfiles/centos-lamp WORKDIR /var/www/html RUN wget https://github.com/RandomStorm/DVWA/archive/v1.0.8.tar.gz -O- | tar xvz --strip-components=1 RUN service mysqld start &&am...
Docker 컨테이너의 기능과 권한을 탐색 중이며 "AUDIT_WRITE", "KILL", "SETFCAP" 및 "SETPCAP" 기능을 제거하면 어떤 영향이 있는지 궁금합니다. Docker 컨테이너에서 이러한 기능이 기본적으로 수행할 수 있는 작업을 명확하게 설명할 수 있는 사람이 있나요? 용기가 폐기되면 어떤 특정 작업이 제한되거나 영향을 받을 수 있습니까? 이러한 기능을 삭제한 후 존재 여부에 비해 변경되는 시나리오를 알려주시면 매우 감사하겠습니다. ...
저는 현재 AppArmor의 기능을 이해하려고 노력하고 있습니다. /bin/pingAppArmor 구성 파일을 복사하고 생성 할 수 있는 예제를 찾았습니다 . /bin/ping먼저 기능 을 설정하기 위한 지침을 복사하고 따랐습니다 net_raw.permittedeffective sudo cp /bin/ping /bin/fake_ping sudo setcap cap_net_raw+ep /bin/fake_ping 그런 다음 AppArmor 구성 파일을 생성했습니다. sudo aa-genprof /bi...
저는 aws eks 1.26 내에서 포드를 실행하고 있습니다. 작업을 통해 aws efs를 마운트 해야 하는데 kubectl exec, POD가 권한 있는 컨테이너로 시작되지 않으면 실패합니다. mountaws eks 내에서 실행되는 컨테이너가 aws efs를 탑재하는 명령을 실행하려면 어떤 권한이 필요합니까 ? 이 구성은 유효합니다. securityContext: privileged: true allowPrivilegeEscalation: true 이 구성은 실패했습니다 securityCo...
루트가 아닌 사용자가 TUN/TAP 인터페이스를 생성하도록 허용해야 하는 상황에 직면했습니다. CAP_NET_ADMIN 기능이 필요하다는 것을 알고 있습니다. 가 있었다다른 문제이에 대한 답변은 CAP_NET_ADMIN 기능을문서/프로그램, 사용자가 아닌. 제 경우에는 다음에 기능을 할당해야 합니다.사용자, 인터페이스를 생성하는 데 적합하다고 판단되는 모든 도구를 사용할 수 있습니다(즉, 인터페이스를 생성하는 데 사용된 특정 파일/프로그램에 국한되지 않음). 리눅스에서 이것이 가능합니까? 특히 Ubu...
docker run --rm --cap-drop=net_bind_service --publish 8080:80 --name nginx nginx ps --forest -fC nginx UID PID PPID C STIME TTY TIME CMD root 449870 449847 0 12:38 ? 00:00:00 nginx: master process nginx -g daemon off; 101 449929 449870 0...
3년 전에 저는 프로그램의 CAP_NET_RAW 기능을 조작하는 프로그램을 작성했습니다. AMBIENT 기능 세트를 사용했습니다. 하지만 이제는 cap-ng.h에 CAPNG_SELECT_AMBIENT가 더 이상 존재하지 않기 때문에 실제 Debian 배포판(커널 5.10)에서 내 프로그램을 컴파일할 수 없습니다. 새로운 상수가 나타났습니다: CAPNG_SELECT_BOTH CAPNG_SELECT_AMBIENT에 무슨 일이 일어나고 있는지 설명해 주실 수 있나요? 감사해요! ...
어떤 운영 체제가 구현되어 있는지 아는 사람 있나요?능력(즉, Posix 1e)? 호환되나요? 이 기능이 Linux의 이식성을 떨어뜨리나요? ...
Busybox 기반의 Linux 시스템에서 루트 사용자로 접근이 가능한 경우, 사용방법특정한 제한된 Linux 세트능력(7)비지박스 외에 다른 도구는 필요하지 않나요? ...
nginx, redis 및 기타 서비스와 함께 웹 애플리케이션을 실행하는 일부 서버가 있습니다. 이러한 시스템을 관리하기 위해 시스템 관리자에게 이러한 서버에 대한 액세스 권한을 부여하고 싶지만 애플리케이션 비밀(예: 데이터베이스 비밀번호) 및 코드(예: 비밀번호를 보고하기 위해 코드를 변경할 수 없도록)가 포함된 디렉터리에 대한 액세스를 거부하고 싶습니다. ). 실제로 관리 시스템에 대한 접근 권한은 부여하고 데이터에 대한 접근은 거부하고 싶습니다. 가능합니까? Linux 기능을 사용해야 한다고 생...
그냥 하는 것보다 CLONE_NEWUSER더 세분화된 방식으로 활성화하려면 어떻게 해야 합니까 kernel.unprivileged_userns_clone? 비루트 또는 BPF와 같은 새로운 복잡한 기능을 비활성화하고 특정 프로그램에서 이를 사용하도록 선택적으로 허용하여 CAP_SYS_ADMIN커널 API 공격 표면을 관리 가능하게 유지하고 싶습니다. 예를 들어, or suid-root가 제대로 작동하기를 chrome-sandbox원 CLOSE_NEWUSER하지만 모든 프로그램이 그렇게 복잡한 트릭을 ...
일반적으로 유닉스(또는 특히 Linux) 프로그램은 ICMP_ECHO("ping")를 사용하여 라우터의 접근성을 확인하는 것과 같은 작업을 수행할 수 없습니다.누구나슈퍼유저로 실행또는setuid 루트또는적절한 POSIX 기능을 갖추고 있어야 합니다. 분명히 setuid 또는 POSIX 기능을 바이너리에 적용하려면 모든 작동 시스템에 대한 수퍼유저 개입이 필요합니다. 개발 환경에 CAP_SETFCAP 기능이 있는 경우 적어도 로컬 작업에 관한 한 빌드하는 프로그램에 적절한 POSIX 기능을 설정할 수 ...
컨테이너와 PID 네임스페이스를 공유하는 방법을 연구하는 동안 제가 이해하지 못하는 흥미로운 사실을 발견했습니다. 컨테이너가 호스트와 PID 네임스페이스를 공유하면 일부 프로세스의 환경 변수는 보호되지만 다른 프로세스는 보호되지 않습니다. mysql을 예로 들어보자. 환경 변수 세트를 사용하여 컨테이너를 시작하겠습니다. ubuntu@sandbox:~$ docker container run -it -d --env MYSQL_ROOT_PASSWORD=SuperSecret mysql 551b30951392...
비능력 인식 프로그램을 갖기 위해서는 최소한 1) cap_sys_admin과 2) cap_dac_override또는 가 필요합니다 cap_dac_read_search. 이는 다음과 같이 증명할 수 있습니다. sudo setcap 'all=ep cap_sys_admin-ep' ./binary` # ./binary doesn't work sudo setcap 'all=ep cap_dac_override-ep' ./binary` ...
운영 체제: Debian 11 패키지: OpenVPN 2.5.1 배경: 업데이트 후 Openvpn-2.5 클라이언트가 더 이상 작동하지 않습니다.IP 라우팅루트 권한이 제거되고 시스템 장치가 권한 없는 사용자로 실행되고 나면 인터페이스를 수정하고 OpenVPN 서버가 푸시하는 경로를 구성하십시오. 다음 두 스레드의 iproute 문제에 대한 토론을 기반으로 합니다. https://bugs.archlinux.org/task/68480 https://phabricator.vyos.net/T3805 권...