Secomp in Kubernetes: 7 טינגז איר דאַרפֿן צו וויסן פֿון די אָנהייב

נאטיץ. טראַנסל.: מיר פאָרשטעלן צו דיין ופמערקזאַמקייט די איבערזעצונג פון אַן אַרטיקל פון אַ עלטער אַפּלאַקיישאַן זיכערהייט ינזשעניר ביי די בריטיש פירמע ASOS.com. מיט אים, ער הייבט אַ סעריע פון ​​אויסגאבעס דעדאַקייטאַד צו פֿאַרבעסערן זיכערהייט אין קובערנעטעס דורך די נוצן פון סעקאָמפּ. אויב לייענער ווי די הקדמה, מיר וועלן נאָכפאָלגן דעם מחבר און פאָרזעצן מיט זיין צוקונפֿט מאַטעריאַלס אויף דעם טעמע.

דער אַרטיקל איז דער ערשטער אין אַ סעריע פון ​​​​הודעות וועגן ווי צו שאַפֿן סעקקאָמפּ פּראָופיילז אין די גייסט פון SecDevOps, אָן ריזאָרט צו מאַגיש און וויטשקראַפט. אין טייל XNUMX, איך וועט דעקן די באַסיקס און ינערלעך דעטאַילס פון ימפּלאַמענינג סעקאָמפּ אין Kubernetes.

די Kubernetes יקאָוסיסטאַם אָפפערס אַ ברייט פאַרשיידנקייַט פון וועגן צו באַוואָרענען און יזאָלירן קאַנטיינערז. דער אַרטיקל איז וועגן זיכער קאַמפּיוטינג מאָדע, אויך באקאנט ווי סעקקאָמפּ. זייַן עסאַנס איז צו פילטער די סיסטעם רופט בנימצא פֿאַר דורכפירונג דורך קאַנטיינערז.

פארוואס איז עס וויכטיק? א קאַנטיינער איז נאָר אַ פּראָצעס פליסנדיק אויף אַ ספּעציפיש מאַשין. און עס ניצט די קערן פּונקט ווי אנדערע אַפּלאַקיישאַנז. אויב קאַנטיינערז קען דורכפירן קיין סיסטעם קאַללס, זייער באַלד מאַלוואַרע וואָלט נוצן דעם צו בייפּאַס קאַנטיינער אפגעזונדערטקייט און ווירקן אנדערע אַפּלאַקיישאַנז: ינטערסעפּט אינפֿאָרמאַציע, טוישן סיסטעם סעטטינגס, עטק.

seccomp פּראָופיילז דעפינירן וואָס סיסטעם רופט זאָל זיין ערלויבט אָדער פאַרקריפּלט. דער קאַנטיינער רונטימע אַקטאַווייץ זיי ווען עס סטאַרץ אַזוי אַז דער קערן קענען מאָניטאָר זייער דורכפירונג. ניצן אַזאַ פּראָופיילז אַלאַוז איר צו באַגרענעצן די באַפאַלן וועקטאָר און רעדוצירן שעדיקן אויב קיין פּראָגראַם אין דעם קאַנטיינער (ד"ה, דיין דיפּענדאַנסיז אָדער זייער דיפּענדאַנסיז) סטאַרץ צו טאָן עפּעס וואָס עס איז נישט ערלויבט צו טאָן.

באַקומען צו די באַסיקס

די גרונט סעקקאָמפּ פּראָפיל כולל דרייַ יסודות: defaultAction, architectures (אָדער archMap) און syscalls:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(medium-basic-secomp.json)

defaultAction דיטערמאַנז די פעליקייַט גורל פון קיין סיסטעם רופן ניט ספּעסיפיעד אין די אָפּטיילונג syscalls. צו מאַכן די טינגז גרינגער, לאָמיר פאָקוס אויף די צוויי הויפּט וואַלועס וואָס וועט זיין געוויינט:

• SCMP_ACT_ERRNO - בלאַקס די דורכפירונג פון אַ סיסטעם רופן,
• SCMP_ACT_ALLOW - אַלאַוז.

אין אָפּטיילונג architectures ציל אַרקאַטעקטשערז זענען ליסטעד. דאָס איז וויכטיק ווייַל די פילטער זיך, געווענדט אין די קערן מדרגה, דעפּענדס אויף סיסטעם רופן ידענטיפיערס, און נישט אויף זייער נעמען ספּעסיפיעד אין דעם פּראָפיל. דער קאַנטיינער רונטימע וועט גלייַכן זיי צו ידענטיפיערס איידער נוצן. דער געדאַנק איז אַז סיסטעם קאַללס קענען האָבן גאָר פאַרשידענע IDs דיפּענדינג אויף די סיסטעם אַרקאַטעקטשער. פֿאַר בייַשפּיל, סיסטעם רופן recvfrom (געוויינט צו באַקומען אינפֿאָרמאַציע פון ​​די כאָלעל) האט ID = 64 אויף X64 סיסטעמען און ID = 517 אויף X86. דאָ איר קענען געפֿינען אַ רשימה פון אַלע סיסטעם רופט פֿאַר קס86-קס64 אַרקאַטעקטשערז.

אין דער אָפּטיילונג syscalls רשימות אַלע סיסטעם רופט און ספּעציפיצירן וואָס צו טאָן מיט זיי. פֿאַר בייַשפּיל, איר קענען מאַכן אַ ווייטליסט דורך באַשטעטיקן defaultAction אויף SCMP_ACT_ERRNO, און רופט אין די אָפּטיילונג syscalls באַשטימען SCMP_ACT_ALLOW. אזוי, איר נאָר לאָזן קאַללס ספּעסאַפייד אין די אָפּטיילונג syscalls, און פאַרווערן אַלע אנדערע. פֿאַר די בלאַקליסט איר זאָל טוישן די וואַלועס defaultAction און אַקשאַנז צו די פאַרקערט.

איצט מיר זאָל זאָגן אַ ביסל ווערטער וועגן נואַנסיז וואָס זענען נישט אַזוי קלאָר ווי דער טאָג. ביטע טאָן אַז די רעקאַמאַנדיישאַנז אונטן יבערנעמען אַז איר זענען דיפּלויד אַ שורה פון געשעפט אַפּלאַקיישאַנז אויף Kubernetes און איר ווילן זיי צו לויפן מיט די מינדסטער סומע פון ​​פּריווילאַדזשאַז מעגלעך.

1. AllowPrivilegeEscalation=פאַלש

В securityContext קאַנטיינער האט אַ פּאַראַמעטער AllowPrivilegeEscalation. אויב עס איז אינסטאַלירן אין false, קאַנטיינערז וועט אָנהייבן מיט (on) ביסל no_new_priv. דער טייַטש פון דעם פּאַראַמעטער איז קלאָר ווי דער טאָג פון דעם נאָמען: עס פּריווענץ דעם קאַנטיינער פון לאָנטשינג נייַ פּראַסעסאַז מיט מער פּריווילאַדזשאַז ווי עס זיך.

א זייַט ווירקונג פון דעם אָפּציע איז באַשטימט צו true (פעליקייַט) איז אַז דער קאַנטיינער רונטימע אַפּלייז די סעקאָמפּ פּראָפיל אין די אָנהייב פון די סטאַרטאַפּ פּראָצעס. אזוי, אַלע סיסטעם רופט פארלאנגט צו לויפן ינערלעך רונטימע פּראַסעסאַז (למשל באַשטעטיקן באַניצער / גרופּע ידס, דראַפּינג זיכער קייפּאַבילאַטיז) מוזן זיין ענייבאַלד אין דעם פּראָפיל.

צו אַ קאַנטיינער וואָס טוט נישטיק זאכן echo hi, די פאלגענדע פּערמישאַנז וועט זיין פארלאנגט:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "capget",
                "capset",
                "chdir",
                "close",
                "execve",
                "exit_group",
                "fstat",
                "fstatfs",
                "futex",
                "getdents64",
                "getppid",
                "lstat",
                "mprotect",
                "nanosleep",
                "newfstatat",
                "openat",
                "prctl",
                "read",
                "rt_sigaction",
                "statfs",
                "setgid",
                "setgroups",
                "setuid",
                "stat",
                "uname",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-pod-secomp.json)

... אַנשטאָט פון די:

{
    "defaultAction": "SCMP_ACT_ERRNO",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "brk",
                "close",
                "execve",
                "exit_group",
                "futex",
                "mprotect",
                "nanosleep",
                "stat",
                "write"
            ],
            "action": "SCMP_ACT_ALLOW"
        }
    ]
}

(hi-container-secomp.json)

אבער ווידער, וואָס איז דאָס אַ פּראָבלעם? פּערסנאַלי, איך וואָלט ויסמיידן ווייטליסטינג די פאלגענדע סיסטעם רופט (סייַדן עס איז אַ פאַקטיש נויט פֿאַר זיי): capset, set_tid_address, setgid, setgroups и setuid. אָבער, די פאַקטיש אַרויסרופן איז אַז דורך אַלאַוינג פּראַסעסאַז וואָס איר האָט לעגאַמרע קיין קאָנטראָל איבער, איר בינדן פּראָופיילז צו די ימפּלאַמענטיישאַן פון די קאַנטיינער רונטימע. אין אנדערע ווערטער, איין טאָג איר קען געפֿינען אַז נאָך אַפּדייטינג די קאַנטיינער רונטימע סוויווע (אָדער דורך איר אָדער, מער מסתּמא, דורך די וואָלקן סערוויס שפּייַזער), די קאַנטיינערז פּלוצלינג האַלטן פליסנדיק.

טיפּ 1: לויפן קאַנטיינערז מיט AllowPrivilegeEscaltion=false. דאָס וועט רעדוצירן די גרייס פון סעקקאָמפּ פּראָופיילז און מאַכן זיי ווייניקער שפּירעוודיק צו ענדערונגען אין די קאַנטיינער רונטימע סוויווע.

2. באַשטעטיקן סעקאָמפּ פּראָופיילז בייַ די קאַנטיינער מדרגה

די סעקקאָמפּ פּראָפיל קענען זיין שטעלן אויף די פּאָד מדרגה:

annotations:
  seccomp.security.alpha.kubernetes.io/pod: "localhost/profile.json"

... אָדער אין די קאַנטיינער מדרגה:

annotations:
  container.security.alpha.kubernetes.io/<container-name>: "localhost/profile.json"

ביטע טאָן אַז די אויבן סינטאַקס וועט טוישן ווען Kubernetes secomp וועט ווערן גא (די געשעעניש איז געריכט אין דער ווייַטער מעלדונג פון Kubernetes - 1.18 - אַפּפּראָקס טראַנסל.).

ווייניק מענטשן וויסן אַז קובערנעטעס האט שטענדיק געהאט זשוקוואָס האָט געפֿירט צו סעקקאָמפּ פּראָופיילז פּויזע קאַנטיינער. די רונטימע סוויווע טייל קאַמפּאַנסייץ פֿאַר דעם כיסאָרן, אָבער דעם קאַנטיינער טוט נישט פאַרשווינדן פון די פּאָדס, ווייַל עס איז געניצט צו קאַנפיגיער זייער ינפראַסטראַקטשער.

די פּראָבלעם איז אַז דעם קאַנטיינער שטענדיק סטאַרץ מיט AllowPrivilegeEscalation=true, וואָס פירט צו די פראבלעמען וואָס זענען געווען אין פּאַראַגראַף 1, און דאָס קען נישט זיין געביטן.

דורך ניצן סעקאָמפּ פּראָופיילז אויף די קאַנטיינער מדרגה, איר ויסמיידן דעם גרוב און קענען מאַכן אַ פּראָפיל וואָס איז טיילערד צו אַ ספּעציפיש קאַנטיינער. דאָס וועט זיין געטאן ביז די דעוועלאָפּערס פאַרריכטן דעם זשוק און די נייַע ווערסיע (אפֿשר 1.18?) וועט זיין בארעכטיגט פֿאַר אַלעמען.

טיפּ 2: שטעלן סעקאָמפּ פּראָופיילז אויף די קאַנטיינער מדרגה.

אין אַ פּראַקטיש זינען, די הערשן יוזשאַוואַלי סערוועס ווי אַ וניווערסאַל ענטפער צו די קשיא: "פארוואס טוט מיין סעקאָמפּ פּראָפיל אַרבעט מיט docker runאָבער טוט נישט אַרבעטן נאָך דיפּלויינג צו אַ Kubernetes קנויל?

3. ניצן רונטימע / פעליקייַט בלויז ווי אַ לעצטע ריזאָרט

Kubernetes האט צוויי אָפּציעס פֿאַר געבויט-אין פּראָופיילז: runtime/default и docker/default. ביידע זענען ימפּלאַמענאַד דורך די קאַנטיינער רונטימע, נישט Kubernetes. דעריבער, זיי קען זיין אַנדערש דיפּענדינג אויף די רונטימע סוויווע און זייַן ווערסיע.

אין אנדערע ווערטער, ווי אַ רעזולטאַט פון טשאַנגינג רונטימע, דער קאַנטיינער קען האָבן אַקסעס צו אַ אַנדערש גאַנג פון סיסטעם רופט, וואָס עס קען אָדער קען נישט נוצן. רובֿ רונטימע נוצן דאָקקער ימפּלאַמענטיישאַן. אויב איר ווילט צו נוצן דעם פּראָפיל, ביטע מאַכן זיכער אַז עס איז פּאַסיק פֿאַר איר.

פּראָפיל docker/default דיפּרישיייטיד ווי פון Kubernetes 1.11, אַזוי ויסמיידן ניצן עס.

אין מיין מיינונג, פּראָפיל runtime/default בישליימעס סוטאַד פֿאַר די ציל פֿאַר וואָס עס איז געווען באשאפן: פּראַטעקטינג וסערס פון די ריסקס פֿאַרבונדן מיט עקסאַקיוטינג אַ באַפֿעל docker run אויף זייער קאַרס. אָבער, ווען עס קומט צו געשעפט אַפּלאַקיישאַנז וואָס לויפן אויף Kubernetes קלאַסטערז, איך וואָלט אַרויספאָדערן צו טענהן אַז אַזאַ אַ פּראָפיל איז צו אָפן און דעוועלאָפּערס זאָל פאָקוס אויף קריייטינג פּראָופיילז פֿאַר זייער אַפּלאַקיישאַנז (אָדער טייפּס פון אַפּלאַקיישאַנז).

טיפּ 3: שאַפֿן סעקאָמפּ פּראָופיילז פֿאַר ספּעציפיש אַפּלאַקיישאַנז. אויב דאָס איז ניט מעגלעך, שאַפֿן פּראָופיילז פֿאַר אַפּלאַקיישאַן טייפּס, למשל, שאַפֿן אַ אַוואַנסירטע פּראָפיל וואָס כולל אַלע די וועב אַפּיס פון די Golang אַפּלאַקיישאַן. נאָר נוצן רונטימע / פעליקייַט ווי אַ לעצטע ריזאָרט.

אין צוקונפֿט אַרטיקלען, איך וועט דעקן ווי צו שאַפֿן SecDevOps-ינספּייערד סעקאָמפּ פּראָופיילז, אָטאַמייט זיי און פּרובירן זיי אין פּייפּליינז. אין אנדערע ווערטער, איר וועט האָבן קיין אַנטשולדיקן נישט צו אַפּגרייד צו אַפּלאַקיישאַן-ספּעציפיש פּראָופיילז.

4. ונקאָנפינעד איז נישט אַן אָפּציע.

פון ערשטער Kubernetes זיכערהייט קאָנטראָלירן עס פארקערט אויס אַז דורך פעליקייַט סעקקאָמפּ פאַרקריפּלט. דעם מיטל אַז אויב איר טאָן ניט שטעלן PodSecurityPolicy, וואָס וועט געבן עס אין דעם קנויל, אַלע פּאָדס פֿאַר וואָס די סעקאָמפּ פּראָפיל איז נישט דיפיינד וועט אַרבעטן אין seccomp=unconfined.

אַפּערייטינג אין דעם מאָדע מיטל אַז אַ גאַנץ שיכטע פון ​​ינסאַליישאַן איז פאַרפאַלן וואָס פּראַטעקץ די קנויל. דעם צוגאַנג איז נישט רעקאַמענדיד דורך זיכערהייט עקספּערץ.

טיפּ 4: קיין קאַנטיינער אין דעם קנויל זאָל זיין פליסנדיק אין seccomp=unconfined, ספּעציעל אין פּראָדוקציע ינווייראַנמאַנץ.

5. "אודיט מאָדע"

דער פונט איז נישט יינציק צו Kubernetes, אָבער נאָך פאלן אין די קאַטעגאָריע "טינגז צו וויסן איידער איר אָנהייבן".

ווי עס כאַפּאַנז, שאפן סעקאָמפּ פּראָופיילז איז שטענדיק געווען טשאַלאַנדזשינג און רילייז שווער אויף פּראָצעס און טעות. דער פאַקט איז אַז יוזערז פשוט האָבן נישט די געלעגנהייט צו פּרובירן זיי אין פּראָדוקציע ינווייראַנמאַנץ אָן ריזיקירן "דראַפּינג" די אַפּלאַקיישאַן.

נאָך די מעלדונג פון די לינוקס קערן 4.14, עס איז געווען מעגלעך צו לויפן פּאַרץ פון אַ פּראָפיל אין קאָנטראָלירן מאָדע, רעקאָרדינג אינפֿאָרמאַציע וועגן אַלע סיסטעם רופט אין סיסלאָג, אָבער אָן בלאַקינג זיי. איר קענען אַקטאַווייט דעם מאָדע מיט דעם פּאַראַמעטער SCMT_ACT_LOG:

SCMP_ACT_LOG: seccomp וועט נישט ווירקן די פאָדעם וואָס מאַכן די סיסטעם רופן אויב עס שטימען נישט צו קיין הערשן אין די פילטער, אָבער אינפֿאָרמאַציע וועגן די סיסטעם רופן וועט זיין לאָגד.

דאָ איז אַ טיפּיש סטראַטעגיע פֿאַר ניצן דעם שטריך:

1. לאָזן סיסטעם רופט וואָס זענען דארף.
2. פאַרשפּאַרן קאַללס פון די סיסטעם וואָס איר וויסן וועט נישט זיין נוציק.
3. רעקאָרד אינפֿאָרמאַציע וועגן אַלע אנדערע קאַללס אין די קלאָץ.

א סימפּלאַפייד בייַשפּיל קוקט ווי דאָס:

{
    "defaultAction": "SCMP_ACT_LOG",
    "architectures": [
        "SCMP_ARCH_X86_64",
        "SCMP_ARCH_X86",
        "SCMP_ARCH_X32"
    ],
    "syscalls": [
        {
            "names": [
                "arch_prctl",
                "sched_yield",
                "futex",
                "write",
                "mmap",
                "exit_group",
                "madvise",
                "rt_sigprocmask",
                "getpid",
                "gettid",
                "tgkill",
                "rt_sigaction",
                "read",
                "getpgrp"
            ],
            "action": "SCMP_ACT_ALLOW"
        },
        {
            "names": [
                "add_key",
                "keyctl",
                "ptrace"
            ],
            "action": "SCMP_ACT_ERRNO"
        }
    ]
}

(מיטל-געמישט-secomp.json)

אָבער געדענקט אַז איר דאַרפֿן צו פאַרשפּאַרן אַלע קאַללס וואָס איר וויסן וועט נישט זיין געוויינט און וואָס קען פּאַטענטשאַלי שאַטן דעם קנויל. א גוטע יקער פֿאַר קאַמפּיילינג אַ רשימה איז דער באַאַמטער דאָקקער דאַקיומענטיישאַן. עס דערקלערט אין דעטאַל וואָס סיסטעם רופט זענען אפגעשטעלט אין די פעליקייַט פּראָפיל און וואָס.

אָבער, עס איז איין כאַפּן. כאָטש SCMT_ACT_LOG געשטיצט דורך די לינוקס קערן זינט דעם סוף פון 2017, עס איז בלויז לעפיערעך לעצטנס אריין אין די Kubernetes יקאָוסיסטאַם. דעריבער, צו נוצן דעם אופֿן איר וועט דאַרפֿן אַ לינוקס קערן 4.14 און runC ווערסיע ניט נידעריקער v1.0.0-rc9.

טיפּ 5: אַ קאָנטראָלירן מאָדע פּראָפיל פֿאַר טעסטינג אין פּראָדוקציע קענען זיין באשאפן דורך קאַמביינינג שוואַרץ און ווייַס רשימות, און אַלע אויסנעמען קענען זיין לאָגד.

6. ניצן ווהיטעליסץ

ווהיטעליסטינג ריקווייערז נאָך מי ווייַל איר האָבן צו ידענטיפיצירן יעדער רופן וואָס די אַפּלאַקיישאַן קען דאַרפֿן, אָבער דער צוגאַנג ימפּרוווז זיכערהייט:

עס איז העכסט רעקאַמענדיד צו נוצן די ווייטליסט צוגאַנג ווייַל עס איז סימפּלער און מער פאַרלאָזלעך. די בלאַקליסט וועט זיין דערהייַנטיקט ווען אַ פּאַטענטשאַלי געפערלעך סיסטעם רופן (אָדער אַ געפערלעך פאָן / אָפּציע אויב עס איז אויף די בלאַקליסט) איז צוגעגעבן. אין דערצו, עס איז אָפט מעגלעך צו טוישן די פאַרטרעטונג פון אַ פּאַראַמעטער אָן טשאַנגינג זייַן עסאַנס און דערמיט בייפּאַס די ריסטריקשאַנז פון די בלאַקליסט.

פֿאַר Go אַפּלאַקיישאַנז, איך דעוועלאָפּעד אַ ספּעציעל געצייַג וואָס אַקאַמפּאַניז די אַפּלאַקיישאַן און קאַלעקץ אַלע קאַללס בעשאַס דורכפירונג. פֿאַר בייַשפּיל, פֿאַר די פאלגענדע אַפּלאַקיישאַן:

package main

import "fmt"

func main() {
	fmt.Println("test")
}

... לאָזן ס קאַטער gosystract אַזוי:

go install https://github.com/pjbgf/gosystract
gosystract --template='{{- range . }}{{printf ""%s",n" .Name}}{{- end}}' application-path

... און מיר באַקומען די פאלגענדע רעזולטאַט:

"sched_yield",
"futex",
"write",
"mmap",
"exit_group",
"madvise",
"rt_sigprocmask",
"getpid",
"gettid",
"tgkill",
"rt_sigaction",
"read",
"getpgrp",
"arch_prctl",

איצט, דאָס איז בלויז אַ ביישפּיל - מער דעטאַילס וועגן די מכשירים וועט נאָכפאָלגן.

טיפּ 6: לאָזן בלויז די רופט וואָס איר טאַקע דאַרפֿן און פאַרשפּאַרן אַלע אנדערע.

7. לייגן די רעכט יסודות (אָדער צוגרייטן פֿאַר אומגעריכט נאַטור)

דער קערן וועט דורכפירן דעם פּראָפיל ראַגאַרדלאַס פון וואָס איר שרייַבן אין עס. אפילו אויב עס איז נישט פּונקט וואָס איר ווילט. פֿאַר בייַשפּיל, אויב איר פאַרשפּאַרן אַקסעס צו קאַללס ווי exit אָדער exit_group, דער קאַנטיינער וועט נישט קענען צו פאַרמאַכן אַראָפּ ריכטיק און אפילו אַ פּשוט באַפֿעל ווי echo hi הענגען אים אויףאָ פֿאַר אַ ינדעפאַנאַט צייַט. ווי אַ רעזולטאַט, איר וועט באַקומען הויך קפּו באַניץ אין דעם קנויל:

אין אַזאַ קאַסעס, אַ נוצן קענען קומען צו ראַטעווען strace - עס וועט ווייַזן וואָס די פּראָבלעם קען זיין:

sudo strace -c -p 9331

מאַכן זיכער אַז די פּראָופיילז אַנטהאַלטן אַלע די סיסטעם קאַללס וואָס די אַפּלאַקיישאַן דאַרף אין רונטימע.

טיפּ 7: באַצאָלן ופמערקזאַמקייט צו דעטאַל און מאַכן זיכער אַז אַלע נייטיק סיסטעם קאַללס זענען ווייטליסטעד.

דאָס ענדיקט דער ערשטער טייל פון אַ סעריע פון ​​​​אַרטיקלען וועגן ניצן סעקאָמפּ אין Kubernetes אין די גייסט פון SecDevOps. אין די פאלגענדע פּאַרץ מיר וועלן רעדן וועגן וואָס דאָס איז וויכטיק און ווי צו אָטאַמייט דעם פּראָצעס.

פּס פון איבערזעצער

לייענען אויך אויף אונדזער בלאָג:

• «זיכערהייט פֿאַר דאָקקער קאַנטיינערז";
• «33+ Kubernetes זיכערהייט מכשירים";
• «Docker און Kubernetes אין זיכערהייט-פאדערן ינווייראַנמאַנץ";
• «9 בעסטער פּראַקטיסיז פֿאַר Kubernetes זיכערהייט'.

מקור: www.habr.com