Kubernetes တွင် Seccomp- အစကတည်းက သင်သိထားရမည့်အချက် 7 ချက်

မှတ်ချက်။ ဘာသာပြန်: ဗြိတိန်ကုမ္ပဏီ ASOS.com မှ အကြီးတန်း အပလီကေးရှင်း လုံခြုံရေး အင်ဂျင်နီယာတစ်ဦးမှ ဘာသာပြန်ထားသော ဆောင်းပါးတစ်ပုဒ်ကို သင့်အာရုံကို ကျွန်ုပ်တို့ တင်ပြပါသည်။ ၎င်းနှင့်အတူ၊ သူသည် seccomp ကိုအသုံးပြုခြင်းဖြင့် Kubernetes တွင်လုံခြုံရေးတိုးတက်စေရန်ရည်ရွယ်သည့်ထုတ်ဝေမှုများဆက်တိုက်စတင်ခဲ့သည်။ နိဒါန်းကို စာဖတ်သူများ နှစ်သက်ပါက စာရေးသူ လိုက်နာပြီး ဤအကြောင်းအရာနှင့် ပတ်သက်၍ သူ၏ အနာဂတ် အကြောင်းအရာများကို ဆက်လက် ရေးသားပါမည်။

ဤဆောင်းပါးသည် မှော်ပညာနှင့် စုန်းအတတ်ကို မသုံးဘဲ SecDevOps ၏ စိတ်ဓာတ်ဖြင့် လျှို့ဝှက်ပရိုဖိုင်များ ဖန်တီးနည်း စီးရီးတစ်ခုတွင် ပထမဆုံးဖြစ်သည်။ အပိုင်း XNUMX တွင် Kubernetes တွင် seccomp အကောင်အထည်ဖော်ခြင်း၏ အခြေခံများနှင့် အတွင်းပိုင်းအသေးစိတ်အချက်အလက်များကို ကျွန်ုပ်ပြောပြပါမည်။

Kubernetes ဂေဟစနစ်သည် ကွန်တိန်နာများကို လုံခြုံပြီး သီးခြားခွဲထားရန် နည်းလမ်းများစွာကို ပေးဆောင်ပါသည်။ ဆောင်းပါးသည် Secure Computing Mode ဟုလည်းလူသိများသည်။ မြတ်နိုး. ၎င်း၏အနှစ်သာရမှာ ကွန်တိန်နာများဖြင့် လုပ်ဆောင်ရန်အတွက် ရရှိနိုင်သော စနစ်ခေါ်ဆိုမှုများကို စစ်ထုတ်ရန်ဖြစ်သည်။

အဘယ်ကြောင့် အရေးကြီးသနည်း။ ကွန်တိန်နာသည် သီးခြားစက်တစ်ခုပေါ်တွင် လုပ်ဆောင်နေသည့် လုပ်ငန်းစဉ်တစ်ခုမျှသာဖြစ်သည်။ ၎င်းသည် အခြားအပလီကေးရှင်းများကဲ့သို့ kernel ကိုအသုံးပြုသည်။ ကွန်တိန်နာများသည် မည်သည့်စနစ်ခေါ်ဆိုမှုများကိုမဆို လုပ်ဆောင်နိုင်ပါက၊ မကြာမီ malware သည် ကွန်တိန်နာအထီးကျန်မှုကို ကျော်လွှားကာ အခြားအပလီကေးရှင်းများကို ထိခိုက်နိုင်သည်- အချက်အလက်ကို ကြားဖြတ်၊ စနစ်ဆက်တင်များကို ပြောင်းလဲရန်၊ စသည်ဖြင့် ကွန်တိန်နာများမှ အခွင့်ကောင်းယူမည်ဖြစ်သည်။

seccomp ပရိုဖိုင်များသည် မည်သည့်စနစ်ခေါ်ဆိုမှုများကို ခွင့်ပြုသင့်သည် သို့မဟုတ် ပိတ်သင့်သည်ဟု သတ်မှတ်သည်။ ကွန်တိန်နာ runtime သည် ၎င်းတို့ကို စတင်သောအခါတွင် ၎င်းတို့ကို အသက်သွင်းပေးသောကြောင့် kernel သည် ၎င်းတို့၏ လုပ်ဆောင်မှုကို စောင့်ကြည့်နိုင်သည်။ ထိုပရိုဖိုင်များကို အသုံးပြုခြင်းဖြင့် သင်သည် ကွန်တိန်နာအတွင်းရှိ ပရိုဂရမ်တစ်ခု (ဆိုလိုသည်မှာ၊ သင်၏မှီခိုမှု၊ သို့မဟုတ် ၎င်းတို့၏ မှီခိုမှု) သည် လုပ်ဆောင်ရန် ခွင့်မပြုသည့်အရာတစ်ခုကို စတင်လုပ်ဆောင်ပါက တိုက်ခိုက်သည့် vector ကို ကန့်သတ်ရန်နှင့် ပျက်စီးမှုကို လျှော့ချနိုင်စေသည်။

အခြေခံများဆီသို့

အခြေခံ seccomp ပရိုဖိုင်တွင် အချက်သုံးချက် ပါဝင်သည်- defaultAction, architectures (သို့မဟုတ် archMap) နှင့် syscalls:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(medium-basic-seccomp.json)

defaultAction ကဏ္ဍတွင် မဖော်ပြထားသော မည်သည့်စနစ်ခေါ်ဆိုမှု၏ မူလကံကြမ္မာကို ဆုံးဖြတ်သည် syscalls. အရာများကို ပိုမိုလွယ်ကူစေရန်အတွက် အသုံးပြုမည့် အဓိကတန်ဖိုးနှစ်ခုကို အာရုံစိုက်ကြည့်ကြပါစို့။

• SCMP_ACT_ERRNO - စနစ်ခေါ်ဆိုမှုလုပ်ဆောင်ခြင်းကို ပိတ်ဆို့ခြင်း၊
• SCMP_ACT_ALLOW - ခွင့်ပြုတယ်။

အပိုင်း architectures ပစ်မှတ်ဗိသုကာများကို စာရင်းပြုစုထားသည်။ kernel အဆင့်တွင်သုံးသော စစ်ထုတ်ခြင်းကိုယ်တိုင်က စနစ်ခေါ်ဆိုမှုသတ်မှတ်ခြင်းစနစ်ပေါ်တွင် မူတည်ပြီး ပရိုဖိုင်တွင်ဖော်ပြထားသော ၎င်းတို့၏အမည်များပေါ်တွင်မမူတည်သောကြောင့် ၎င်းသည် အရေးကြီးပါသည်။ ကွန်တိန်နာ runtime သည် ၎င်းတို့ကို အသုံးမပြုမီ identifiers များနှင့် ကိုက်ညီလိမ့်မည်။ အယူအဆမှာ စနစ်ခေါ်ဆိုမှုများတွင် စနစ်တည်ဆောက်ပုံပေါ် မူတည်၍ လုံးဝကွဲပြားသော ID များ ရှိနိုင်သည်ဟု ယူဆပါသည်။ ဥပမာအားဖြင့်၊ စနစ်ခေါ်ဆိုမှု recvfrom (socket မှအချက်အလက်များကိုလက်ခံရရှိရန်အသုံးပြုသည်) ID = 64 တွင် x64 စနစ်များနှင့် ID = 517 x86 ရှိသည်။ ဒါဟာဖြစ်ပါတယ် x86-x64 ဗိသုကာများအတွက် စနစ်ခေါ်ဆိုမှုစာရင်းကို သင်ရှာတွေ့နိုင်ပါသည်။

အဝိဇ္ဇာ syscalls စနစ်ခေါ်ဆိုမှုများအားလုံးကို စာရင်းပြုစုပြီး ၎င်းတို့နှင့် လုပ်ဆောင်ရမည့်အရာများကို သတ်မှတ်ပေးသည်။ ဥပမာအားဖြင့်၊ သင်သည် ဆက်တင်ဖြင့် အဖြူရောင်စာရင်းတစ်ခုကို ဖန်တီးနိုင်သည်။ defaultAction အပေါ် SCMP_ACT_ERRNO၊ ကဏ္ဍတွင်ခေါ်ဆိုမှုများ syscalls assign SCMP_ACT_ALLOW. ထို့ကြောင့် သင်သည် ကဏ္ဍတွင် သတ်မှတ်ထားသော ခေါ်ဆိုမှုများကိုသာ ခွင့်ပြုသည်။ syscallsအခြားသူအားလုံးကို တားမြစ်ပါ။ အမည်ပျက်စာရင်းအတွက် သင်သည် တန်ဖိုးများကို ပြောင်းလဲသင့်သည်။ defaultAction ဆန့်ကျင်ဘက် ပြုမူမှုများ၊

အခုတော့ သိပ်မသိသာတဲ့ ကွဲပြားမှုတွေအကြောင်း စကားနည်းနည်းပြောသင့်တယ်။ အောက်ပါအကြံပြုချက်များသည် သင်သည် Kubernetes တွင် လုပ်ငန်းသုံးအက်ပ်လီကေးရှင်းတစ်လိုင်းကို အသုံးပြုနေသည်ဟု ယူဆကာ ၎င်းတို့ကို ဖြစ်နိုင်ချေအနည်းဆုံးအခွင့်အရေးများဖြင့် လုပ်ဆောင်စေလိုကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။

1. AllowPrivilegeEscalation=false

В securityContext container တွင် parameter ပါရှိပါသည်။ AllowPrivilegeEscalation. တပ်ဆင်ထားရင်၊ falseကွန်တိန်နာများ (on) နည်းနည်း no_new_priv. ဤပါရာမီတာ၏ အဓိပ္ပါယ်သည် အမည်မှ သိသာထင်ရှားသည်- ၎င်းသည် ကွန်တိန်နာအား ၎င်း၏ကိုယ်တိုင်ထက် ပိုမိုအခွင့်ထူးများဖြင့် လုပ်ငန်းစဉ်အသစ်များ စတင်ခြင်းမှ တားဆီးသည်။

သတ်မှတ်ထားသော ဤရွေးချယ်မှု၏ ဘေးထွက်ဆိုးကျိုးတစ်ခု true (default) ဆိုသည်မှာ container runtime သည် startup process ၏အစတွင် seccomp ပရိုဖိုင်ကို သက်ရောက်စေပါသည်။ ထို့ကြောင့်၊ အတွင်းပိုင်း runtime လုပ်ငန်းစဉ်များကို လုပ်ဆောင်ရန် လိုအပ်သော စနစ်ခေါ်ဆိုမှုအားလုံးကို (ဥပမာ- အသုံးပြုသူ/အဖွဲ့ ID များသတ်မှတ်ခြင်း၊ အချို့သောစွမ်းရည်များကို ကျဆင်းစေသည်) ကို ပရိုဖိုင်တွင် ဖွင့်ထားရပါမည်။

အသေးအဖွဲအရာများကို ပြုလုပ်သော ကွန်တိန်နာတစ်ခုဆီသို့ echo hiအောက်ပါခွင့်ပြုချက်များ လိုအပ်ပါမည်-

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "capget",
                "capset",
                "chdir",
                "close",
                "execve",
                "exit_group",
                "fstat",
                "fstatfs",
                "futex",
                "getdents64",
                "getppid",
                "lstat",
                "mprotect",
                "nanosleep",
                "newfstatat",
                "openat",
                "prctl",
                "read",
                "rt_sigaction",
                "statfs",
                "setgid",
                "setgroups",
                "setuid",
                "stat",
                "uname",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-pod-seccomp.json)

... ဒါတွေအစား

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "close",
                "execve",
                "exit_group",
                "futex",
                "mprotect",
                "nanosleep",
                "stat",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-container-seccomp.json)

ဒါပေမယ့် ဒါက ဘာကြောင့် ပြဿနာဖြစ်တာလဲ။ ကိုယ်တိုင်ကိုယ်ကျ၊ ကျွန်ုပ်သည် အောက်ပါစနစ်ခေါ်ဆိုမှုများကို အဖြူရောင်စာရင်းသွင်းခြင်းကို ရှောင်ကြဉ်ပါမည် (၎င်းတို့အတွက် အမှန်တကယ် လိုအပ်ခြင်းမရှိပါက) capset, set_tid_address, setgid, setgroups и setuid. သို့သော်၊ အမှန်တကယ်စိန်ခေါ်မှုမှာ သင်လုံးဝထိန်းချုပ်မှုမရှိသော လုပ်ငန်းစဉ်များကိုခွင့်ပြုခြင်းဖြင့် သင်သည် ပရိုဖိုင်များကို container runtime အကောင်အထည်ဖော်မှုတွင် ချိတ်ဆက်နေခြင်းဖြစ်သည်။ တစ်နည်းဆိုရသော်၊ ကွန်တိန်နာ runtime ပတ်၀န်းကျင်ကို အပ်ဒိတ်လုပ်ပြီးနောက် တစ်နေ့တွင် (သင် သို့မဟုတ် cloud ဝန်ဆောင်မှုပေးသူမှ) ကွန်တိန်နာများသည် ရုတ်တရက် ရပ်တန့်သွားသည်ကို သင်တွေ့ရှိနိုင်သည်။

အကြံပြုချက် # ၁: ကွန်တိန်နာများဖြင့် လုပ်ဆောင်ပါ။ AllowPrivilegeEscaltion=false. ၎င်းသည် seccomp ပရိုဖိုင်များ၏ အရွယ်အစားကို လျှော့ချပြီး ကွန်တိန်နာ runtime ပတ်၀န်းကျင်ရှိ ပြောင်းလဲမှုများကို အာရုံခံစားနိုင်မှု လျော့နည်းစေသည်။

2. ကွန်တိန်နာအဆင့်တွင် seccomp ပရိုဖိုင်များကို သတ်မှတ်ခြင်း။

seccomp ပရိုဖိုင်ကို pod အဆင့်တွင် သတ်မှတ်နိုင်သည်-

annotations:
  seccomp.security.alpha.kubernetes.io/pod: "localhost/profile.json"

... သို့မဟုတ် ကွန်တိန်နာအဆင့်တွင်-

annotations:
  container.security.alpha.kubernetes.io/<container-name>: "localhost/profile.json"

Kubernetes seccomp လုပ်သောအခါတွင် အထက်ပါ syntax သည် ပြောင်းလဲသွားမည်ဖြစ်ကြောင်း ကျေးဇူးပြု၍ သတိပြုပါ။ GA ဖြစ်လာလိမ့်မယ်။ (ဤအစီအစဉ်ကို Kubernetes - 1.18 - ခန့်မှန်းခြေအားဖြင့် ဘာသာပြန်ဆိုမှုတွင် လာမည့်ထုတ်ဝေမှုတွင် မျှော်လင့်ထားသည်။)

Kubernetes အမြဲရှိနေကြောင်း လူအနည်းငယ်က သိသည်။ ပိုးကောင်၎င်းသည် seccomp ပရိုဖိုင်များကို အသုံးချစေခဲ့သည်။ ကွန်တိန်နာခေတ္တရပ်ပါ။. runtime ပတ်ဝန်းကျင်သည် ဤချို့ယွင်းချက်အတွက် တစ်စိတ်တစ်ပိုင်း လျော်ကြေးပေးသည်၊ သို့သော် ၎င်းကို ၎င်းတို့၏ အခြေခံအဆောက်အဦများကို စီစဉ်သတ်မှတ်ရန် အသုံးပြုသောကြောင့် ဤကွန်တိန်နာသည် အကွက်များထဲမှ ပျောက်ကွယ်သွားခြင်းမရှိပေ။

ပြဿနာက ဒီကွန်တိန်နာက အမြဲတမ်း စတယ်။ AllowPrivilegeEscalation=trueအပိုဒ် 1 တွင် ဖော်ပြထားသော ပြဿနာများကို ဖြစ်ပေါ်စေပြီး ၎င်းကို ပြောင်းလဲ၍ မရပါ။

ကွန်တိန်နာအဆင့်ရှိ seccomp ပရိုဖိုင်များကို အသုံးပြုခြင်းဖြင့် သင်သည် ဤအပေါက်အပြဲကို ရှောင်ရှားနိုင်ပြီး သီးခြားကွန်တိန်နာတစ်ခုနှင့် အံဝင်ခွင်ကျရှိသော ပရိုဖိုင်တစ်ခုကို ဖန်တီးနိုင်သည်။ ဆော့ဖ်ဝဲအင်ဂျင်နီယာများသည် bug ကိုပြင်ပြီး ဗားရှင်းအသစ် (1.18?) လူတိုင်းရရှိနိုင်သည်အထိ ၎င်းကို လုပ်ဆောင်ရပါမည်။

အကြံပြုချက် # ၁- ကွန်တိန်နာအဆင့်တွင် seccomp ပရိုဖိုင်များကို သတ်မှတ်ပါ။

လက်တွေ့သဘောအရ၊ ဤစည်းမျဉ်းသည် များသောအားဖြင့် မေးခွန်းအတွက် ကမ္ဘာလုံးဆိုင်ရာအဖြေတစ်ခုအဖြစ် ဆောင်ရွက်ပေးသည်- "ကျွန်ုပ်၏ seccomp ပရိုဖိုင်သည် အဘယ်ကြောင့် အလုပ်ဖြစ်သနည်း။ docker runသို့သော် Kubernetes အစုအဝေးသို့ အသုံးချပြီးနောက် အလုပ်မလုပ်တော့ပါ။

3. runtime/default ကိုသာ နောက်ဆုံးအားကိုးရာအဖြစ် အသုံးပြုပါ။

Kubernetes တွင် built-in ပရိုဖိုင်များအတွက် ရွေးချယ်စရာနှစ်ခုရှိသည်။ runtime/default и docker/default. နှစ်ခုလုံးကို Kubernetes မဟုတ်ဘဲ container runtime ဖြင့် အကောင်အထည်ဖော်သည်။ ထို့ကြောင့် ၎င်းတို့သည် အသုံးပြုထားသော runtime ပတ်ဝန်းကျင်နှင့် ၎င်း၏ဗားရှင်းပေါ်မူတည်၍ ကွဲပြားနိုင်သည်။

တစ်နည်းဆိုရသော်၊ runtime ပြောင်းလဲခြင်းကြောင့် ကွန်တိန်နာသည် ၎င်းသည် အသုံးမပြုနိုင် သို့မဟုတ် အသုံးမပြုနိုင်သည့် မတူညီသော စနစ်ခေါ်ဆိုမှုအစုအဝေးသို့ ဝင်ရောက်နိုင်မည်ဖြစ်သည်။ runtime အများစုကို သုံးပါတယ်။ Docker အကောင်အထည်ဖော်ခြင်း။. ဤပရိုဖိုင်ကို အသုံးပြုလိုပါက၊ ၎င်းသည် သင့်အတွက် သင့်လျော်ကြောင်း သေချာပါစေ။

ပရိုဖိုင်းကို docker/default Kubernetes 1.11 ကတည်းက ငြင်းပယ်ထားသောကြောင့် အသုံးပြုခြင်းကို ရှောင်ကြဉ်ပါ။

ကျွန်တော့်အမြင်ကတော့နော်။ runtime/default ၎င်းကို ဖန်တီးခဲ့သည့် ရည်ရွယ်ချက်အတွက် လုံးဝသင့်လျော်သည်- အသုံးပြုသူများကို အမိန့်ပေးသည့် လုပ်ဆောင်ခြင်းနှင့် ဆက်စပ်သည့် အန္တရာယ်များမှ ကာကွယ်ပေးခြင်း docker run သူတို့ရဲ့ကားတွေပေါ်မှာ။ သို့သော်လည်း Kubernetes အစုအဝေးများတွင် လုပ်ဆောင်နေသည့် စီးပွားရေးဆိုင်ရာ အက်ပ်လီကေးရှင်းများနှင့် ပတ်သက်လာလျှင်၊ ထိုသို့သော ပရိုဖိုင်သည် အလွန်ပွင့်နေပြီး developer များသည် ၎င်းတို့၏ အပလီကေးရှင်းများ (သို့မဟုတ် အပလီကေးရှင်းအမျိုးအစားများ) အတွက် ပရိုဖိုင်ဖန်တီးခြင်းအပေါ် အာရုံစိုက်သင့်သည်ဟု ကျွန်ုပ်ငြင်းဆိုလိုပါသည်။

အကြံပြုချက် # ၁− သီးခြားအပလီကေးရှင်းများအတွက် seccomp ပရိုဖိုင်များဖန်တီးပါ။ မဖြစ်နိုင်ပါက၊ အပလီကေးရှင်းအမျိုးအစားများအတွက် ပရိုဖိုင်များဖန်တီးပါ၊ ဥပမာ၊ Golang အပလီကေးရှင်း၏ ဝဘ် API များအားလုံးပါဝင်သည့် အဆင့်မြင့်ပရိုဖိုင်ကို ဖန်တီးပါ။ နောက်ဆုံးအားကိုးရာအဖြစ် runtime/default ကိုသာသုံးပါ။

နောင်ပို့စ်များတွင်၊ SecDevOps မှုတ်သွင်းထားသော seccomp ပရိုဖိုင်များဖန်တီးနည်း၊ ၎င်းတို့ကို အလိုအလျောက်လုပ်ရန်နှင့် ပိုက်လိုင်းများတွင် စမ်းသပ်နည်းကို ကျွန်ုပ်ဖော်ပြပါမည်။ တစ်နည်းအားဖြင့်၊ သင်သည် အပလီကေးရှင်းအလိုက် ပရိုဖိုင်များကို အဆင့်မြှင့်တင်ရန် အကြောင်းပြချက်မရှိပေ။

4. Unconfined သည် ရွေးချယ်စရာတစ်ခုမဟုတ်ပါ။

မှ ပထမဆုံး Kubernetes လုံခြုံရေးစစ်ဆေးမှု default အနေနဲ့ ထွက်လာတယ်။ seccomp ပိတ်ထားသည်။. ဆိုလိုတာက မသတ်မှတ်ထားဘူး။ PodSecurityPolicy၎င်းကို အစုအဝေးတွင် ဖွင့်ပေးမည့်၊ seccomp ပရိုဖိုင်ကို သတ်မှတ်မထားသော pods များအားလုံး အလုပ်လုပ်လိမ့်မည် seccomp=unconfined.

ဤမုဒ်တွင် လုပ်ဆောင်နေခြင်းသည် အစုအဝေးကို ကာကွယ်ပေးသည့် လျှပ်ကာအလွှာတစ်ခုလုံး ဆုံးရှုံးသွားသည်ဟု ဆိုလိုသည်။ ဤနည်းလမ်းကို လုံခြုံရေးကျွမ်းကျင်သူများက မထောက်ခံပါ။

အကြံပြုချက် # ၁: အစုအဝေးရှိ ကွန်တိန်နာတစ်ခုမျှ မလည်ပတ်သင့်ပါ။ seccomp=unconfinedအထူးသဖြင့် ထုတ်လုပ်မှုပတ်ဝန်းကျင်တွင်၊

5. "စာရင်းစစ်မုဒ်"

ဤအချက်သည် Kubernetes အတွက် မထူးခြားသော်လည်း “သင်မစတင်မီ သိထားရမည့်အရာများ” အမျိုးအစားတွင် အကျုံးဝင်ပါသည်။

ထိုသို့ဖြစ်လာသည်နှင့်အမျှ၊ seccomp ပရိုဖိုင်များဖန်တီးခြင်းသည် အမြဲတမ်းစိန်ခေါ်မှုဖြစ်ပြီး အစမ်းသုံးခြင်းနှင့် အမှားအယွင်းအပေါ် များစွာမှီခိုနေရပါသည်။ အမှန်မှာ သုံးစွဲသူများသည် အက်ပလီကေးရှင်းကို “ပြုတ်ကျခြင်း” ကို အန္တရာယ်မပြုဘဲ ထုတ်လုပ်မှုပတ်ဝန်းကျင်တွင် ၎င်းတို့အား စမ်းသပ်ရန် အခွင့်အလမ်းမရှိပေ။

Linux kernel 4.14 ကို ထုတ်ဝေပြီးနောက်၊ syslog တွင် စနစ်ခေါ်ဆိုမှုများအားလုံးကို မှတ်တမ်းတင်ထားသော်လည်း ၎င်းတို့ကို ပိတ်ဆို့ခြင်းမရှိဘဲ စာရင်းစစ်မုဒ်တွင် ပရိုဖိုင်တစ်ခု၏ အစိတ်အပိုင်းများကို လုပ်ဆောင်နိုင်ခဲ့သည်။ သင်သည် ကန့်သတ်ဘောင်ကို အသုံးပြု၍ ဤမုဒ်ကို အသက်သွင်းနိုင်သည်။ SCMT_ACT_LOG:

SCMP_ACT_LOG: seccomp သည် စစ်ထုတ်မှုအတွင်း မည်သည့်စည်းမျဉ်းနှင့်မျှ မကိုက်ညီပါက စနစ်ခေါ်ဆိုမှုပြုလုပ်သည့် thread ကို ထိခိုက်မည်မဟုတ်သော်လည်း၊ စနစ်ခေါ်ဆိုမှုနှင့်ပတ်သက်သည့် အချက်အလက်များကို မှတ်တမ်းတင်ထားမည်ဖြစ်သည်။

ဤသည်မှာ ဤအင်္ဂါရပ်ကို အသုံးပြုရန်အတွက် ပုံမှန်ဗျူဟာတစ်ခုဖြစ်သည်။

1. လိုအပ်သော စနစ်ခေါ်ဆိုမှုများကို ခွင့်ပြုပါ။
2. သင်သိသောစနစ်မှ ဖုန်းခေါ်ဆိုမှုများကို ပိတ်ဆို့ခြင်းသည် အသုံးမဝင်ပါ။
3. မှတ်တမ်းထဲတွင် အခြားခေါ်ဆိုမှုများအားလုံးအကြောင်း အချက်အလက်ကို မှတ်တမ်းတင်ပါ။

ရိုးရှင်းသော ဥပမာသည် ဤကဲ့သို့ ဖြစ်သည်-

{
    "defaultAction": "SCMP_ACT_LOG",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        },
        {
            "names": [
                "add_key",
                "keyctl",
                "ptrace"
            ],
            "action": "SCMP_ACT_ERRNO"
        }
    ]
}

(medium-mixed-seccomp.json)

သို့သော် သင်အသုံးမပြုနိုင်ဟု သိထားသည့် ခေါ်ဆိုမှုများအားလုံးကို ပိတ်ဆို့ထားရန် လိုအပ်ပြီး ၎င်းသည် အစုအဝေးကို အန္တရာယ်ဖြစ်စေနိုင်သည်ကို သတိပြုပါ။ စာရင်းပြုစုခြင်းအတွက် အခြေခံကောင်းမှာ တရားဝင်ဖြစ်သည်။ Docker စာရွက်စာတမ်း. ၎င်းသည် မူရင်းပရိုဖိုင်တွင် မည်သည့်စနစ်ခေါ်ဆိုမှုများကို ပိတ်ဆို့ထားကြောင်းနှင့် အကြောင်းရင်းကို အသေးစိတ်ရှင်းပြသည်။

ဒါပေမယ့် ဖမ်းတာတစ်ခုတော့ရှိတယ်။ သို့ပေမယ့် SCMT_ACT_LOG 2017 နှစ်ကုန်ပိုင်းကတည်းက Linux kernel မှပံ့ပိုးပေးထားသည့် Kubernetes ဂေဟစနစ်ကို မကြာသေးမီကမှ ဝင်ရောက်ခဲ့သည်။ ထို့ကြောင့် ဤနည်းလမ်းကို အသုံးပြုရန် သင်သည် Linux kernel 4.14 နှင့် runC ဗားရှင်းတို့ နိမ့်မည်မဟုတ်ပေ။ v1.0.0-rc9.

အကြံပြုချက် # ၁: ထုတ်လုပ်ရေးတွင် စမ်းသပ်ရန်အတွက် စာရင်းစစ်မုဒ်ပရိုဖိုင်ကို အဖြူအမည်းစာရင်းများ ပေါင်းစပ်ခြင်းဖြင့် ဖန်တီးနိုင်ပြီး ခြွင်းချက်အားလုံးကို မှတ်တမ်းတင်နိုင်သည်။

6. အဖြူရောင်စာရင်းများကို အသုံးပြုပါ။

အပလီကေးရှင်းအတွက် လိုအပ်မည့်ခေါ်ဆိုမှုတိုင်းကို ခွဲခြားသတ်မှတ်ရန် လိုအပ်သော်လည်း၊ ဤနည်းလမ်းသည် လုံခြုံရေးကို များစွာတိုးတက်ကောင်းမွန်စေသောကြောင့် အဖြူအမည်စာရင်းသွင်းခြင်းသည် ထပ်လောင်းအားထုတ်မှု လိုအပ်ပါသည်။

၎င်းသည် ပိုမိုရိုးရှင်းပြီး ပိုမိုစိတ်ချရသောကြောင့် whitelist ချဉ်းကပ်မှုကို အသုံးပြုရန် အထူးအကြံပြုလိုပါသည်။ အန္တရာယ်ရှိနိုင်သော စနစ်ခေါ်ဆိုမှု (သို့မဟုတ် အမည်ပျက်စာရင်းတွင်ပါရှိလျှင် အန္တရာယ်ရှိသော အလံ/ရွေးချယ်ခွင့်) ကို ထည့်သွင်းသည့်အခါ အမည်ပျက်စာရင်းကို အပ်ဒိတ်လုပ်ရန် လိုအပ်ပါသည်။ ထို့အပြင်၊ ၎င်း၏အနှစ်သာရကို မပြောင်းလဲဘဲ ပါရာမီတာ၏ ကိုယ်စားပြုမှုကို ပြောင်းလဲနိုင်ပြီး အမည်ပျက်စာရင်း၏ ကန့်သတ်ချက်များကို ကျော်လွှားရန် မကြာခဏ ဖြစ်နိုင်သည်။

Go အပလီကေးရှင်းများအတွက်၊ ကျွန်ုပ်သည် အပလီကေးရှင်းနှင့် လိုက်ပါဆောင်ရွက်သည့် အထူးကိရိယာတစ်ခုကို တီထွင်ပြီး လုပ်ဆောင်နေစဉ်အတွင်း ပြုလုပ်ခဲ့သော ခေါ်ဆိုမှုများအားလုံးကို စုဆောင်းပါသည်။ ဥပမာအားဖြင့်၊ အောက်ပါအပလီကေးရှင်းအတွက်၊

package main

import "fmt"

func main() {
	fmt.Println("test")
}

... စလိုက်ကြရအောင် gosystract အောက်ပါအတိုင်း:

go install https://github.com/pjbgf/gosystract
gosystract --template='{{- range . }}{{printf ""%s",n" .Name}}{{- end}}' application-path

... နှင့် ကျွန်ုပ်တို့သည် အောက်ပါရလဒ်ကို ရရှိသည် ။

"sched_yield",
"futex",
"write",
"mmap",
"exit_group",
"madvise",
"rt_sigprocmask",
"getpid",
"gettid",
"tgkill",
"rt_sigaction",
"read",
"getpgrp",
"arch_prctl",

ယခုအချိန်တွင်၊ ၎င်းသည် ဥပမာတစ်ခုသာဖြစ်သည်—ကိရိယာများအကြောင်း အသေးစိတ်အချက်အလက်များကို ဆက်လက်ဖော်ပြပါမည်။

အကြံပြုချက် # ၁- သင် အမှန်တကယ် လိုအပ်သော ခေါ်ဆိုမှုများကိုသာ ခွင့်ပြုပြီး အခြားသူများအားလုံးကို ပိတ်ဆို့ပါ။

7. မှန်ကန်သော အခြေခံအုတ်မြစ်များချပါ (သို့မဟုတ် မမျှော်လင့်ထားသောအပြုအမူအတွက် ပြင်ဆင်ပါ)

kernel သည် ၎င်းတွင် သင်ရေးထားသည့်အတိုင်း ပရိုဖိုင်ကို ခိုင်ခံ့စေမည်ဖြစ်သည်။ သင်လိုချင်တာအတိအကျမဟုတ်ရင်တောင်။ ဥပမာအားဖြင့် ခေါ်ဆိုမှုများ ဝင်ရောက်ခွင့်ကို ပိတ်ပင်ထားလျှင် မကြိုက်ပါ။ exit သို့မဟုတ် exit_groupကွန်တိန်နာသည် မှန်ကန်စွာပိတ်နိုင်မည်မဟုတ်သည့်အပြင် ရိုးရှင်းသော command ကဲ့သို့ပင် echo hi သူ့ကို ဆွဲထားလိုက်ပါ။o မကန့်သတ်နိုင်သော ကာလတစ်ခုအတွက်။ ရလဒ်အနေဖြင့်၊ သင်သည် အစုအဝေးတွင် CPU မြင့်မားစွာအသုံးပြုမှုကို ရရှိလိမ့်မည်-

ဒီလိုအခြေအနေမျိုးမှာ အသုံးဝင်မှုတစ်ခုက ကယ်ဆယ်နိုင်ပါတယ်။ strace - ၎င်းသည် ပြဿနာဖြစ်နိုင်သည်များကို ပြသပါမည်။

sudo strace -c -p 9331

ပရိုဖိုင်များတွင် အပလီကေးရှင်းသည် runtime လိုအပ်သည့် စနစ်ခေါ်ဆိုမှုများအားလုံး ပါဝင်ကြောင်း သေချာပါစေ။

အကြံပြုချက် # ၁: အသေးစိတ်ကို ဂရုပြုပြီး လိုအပ်သော စနစ်ခေါ်ဆိုမှုအားလုံးကို ခွင့်ပြုစာရင်းသွင်းထားကြောင်း သေချာပါစေ။

၎င်းသည် SecDevOps ၏သဘောအရ Kubernetes တွင် seccomp ကိုအသုံးပြုခြင်းဆိုင်ရာ ဆောင်းပါးတွဲများ၏ပထမပိုင်းကို အဆုံးသတ်ထားသည်။ အောက်ဖော်ပြပါ အပိုင်းများတွင် ၎င်းသည် အဘယ်ကြောင့် အရေးကြီးကြောင်းနှင့် လုပ်ငန်းစဉ်ကို အလိုအလျောက် မည်သို့လုပ်ဆောင်ရမည်ကို ဆွေးနွေးပါမည်။

PS ဘာသာပြန်မှ

ကျွန်ုပ်တို့၏ဘလော့ဂ်တွင်လည်းဖတ်ပါ

• «Docker ကွန်တိန်နာများအတွက် လုံခြုံရေး";
• «33+ Kubernetes လုံခြုံရေးကိရိယာများ";
• «လုံခြုံရေးအကဲဆတ်သော ပတ်ဝန်းကျင်များတွင် Docker နှင့် Kubernetes";
• «Kubernetes လုံခြုံရေးအတွက် အကောင်းဆုံး အလေ့အကျင့် ၉ ခု"။

source: www.habr.com