《OpenShift 4.x HOL教程汇总》
本文已在 OpenShift 4.9 + RHACS 中测试验证。

演示视频

文章目录

  • 场景说明
  • 查看 Runtime 策略
  • 部署测试应用
  • 在容器中增加用户,然后查看风险

场景说明

RHACS 对于容器的安全 policy 可以施加于 Build、Deploy 和 Runtime 三个不同阶段。在《OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署》中使用了作用于 Deploy 阶段的 Policy 来阻止有安全风险的容器部署到 OpenShift 上。本文演示使用作用于 Runtime 阶段的 Policy 监控容器运行期间的风险。

查看 Runtime 策略

在 System Policy 中查看 “Linux User Add Execution” 策略。

在选中 “Linux User Add Execution” 策略后可以看到 Policy Details。在下方 “Policy Criteria” 可以看到 RHACS 会监测在容器中执行的 “useradd/adduser/usermod” 进程。

部署测试应用

执行命令,运行一个被提权运行的容器。

oc new-project webserver
oc adm policy add-scc-to-user anyuid -z default -n webserver
oc new-app --docker-image=httpd:2.4.17

在容器中增加用户,然后查看风险

  1. 执行命令,进入pod,然后添加一个 test 用户。
$ oc get pod
NAME                    READY   STATUS    RESTARTS   AGE
httpd-6bd664d96-2qm9h   1/1     Running   0          21m
$ oc rsh $(oc get pod --no-headers -o name)
# whoami
root
# useradd test
  1. 在 RHACS 中进入 Violations,然后查看有以下违规记录。
  2. 进入上图的 “Linux User Add Execution” 违规记录,将显示下图详细信息。可以看到是 “ID” 为 0 的用户(root)执行 “/usr/sbin/useradd” 命令创建 “test” 用户。另外,可以给这个违规增加一个说明。
  3. 执行命令退出 http 容器。
# exit
  1. 再次查看 RHACS 的违规记录,确认出现新的 “Kubernetes Actions: Exec into Pod” 违规记录,这条记录也是属于在 Runtime 阶段的 Policy。
  2. 查看 “Kubernetes Actions: Exec into Pod” 违规记录详细信息,确认相关的 Pod 和运行的命令。
  3. 最后可以将 “Kubernetes Actions: Exec into Pod” 违规记录 “Mark as resolved”,这样 RHACS 就不会统计和显示该违规记录了。

OpenShift Security (10) - 用红帽高级集安全产品监控容器中运行的安全违规操作相关推荐

  1. 10分钟搭建服务器集群——Windows7系统中nginx与IIS服务器搭建集群实现负载均衡...

    10分钟搭建服务器集群--Windows7系统中nginx与IIS服务器搭建集群实现负载均衡 原文:10分钟搭建服务器集群--Windows7系统中nginx与IIS服务器搭建集群实现负载均衡 分布式 ...

  2. OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作

    <OpenShift 4.x HOL教程汇总> 本文在 OpenShift4.9 + RHACS 环境中进行验证. 演示视频 在 OpenShift 控制台中部署测试镜像 registry ...

  3. java jvm容器_在Docker容器中运行的JVM的驻留集大小(RSS)和Java总承诺内存(NMT)之间的差异...

    Mikhail Krestjaninoff中的" Analyzing java memory usage in a Docker container"有一些线索: Resident ...

  4. OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构

    <OpenShift 4.x HOL教程汇总> 本文在 OpenShift4.9 环境中进行验证. 主要功能 Red Hat Advanced Cluster Security for K ...

  5. OpenShift Security 15 - 用 RHACS 的安全策略管理运行中的容器安全

    <OpenShift 4.x HOL教程汇总> 本文在 OpenShift4.9 + RAHACS 环境中进行验证. 创建 RHACS 的 Policy 创建一个 Policy 的 JSO ...

  6. OpenShift / RHEL / DevSecOps 汇总目录

    文章目录 OpenShift / RHEL / DevSecOps 汇总目录 OpenShift 入门 OpenShift 安装 免费线上环境 CRC单机环境 MicroShift Online安装 ...

  7. 10个Kubernetes发行版引领了容器革命

    如果您需要大规模进行容器编排,那么Kubernetes已成为您的项目. Google的开放源代码容器编排系统得到了广泛的关注,良好的支持并且发展Swift. [ 点击此处注册免费的三个小时的Kuber ...

  8. 在Docker中运行Spring Boot的高级功能测试

    来源:SpringForAll社区 想要学习更多有关Spring Boot项目的功能测试吗?阅读这篇博客可以让您掌握如何利用Docker容器进行测试. 概览 本文重点介绍如何使用Spring Boot ...

  9. OpenShift 4.10 不可变新特性 - 利用 MachineConfig 发现节点配置漂移

    <OpenShift / RHEL / DevSecOps 汇总目录> 本文介绍功能属于 OpenShift 4.10 新特性. 演示视频 文章目录 不可变(Immutable)特性提升 ...

最新文章

  1. 图像处理和图像识别中常用的OpenCV函数
  2. 开启ntp服务_Linux入门:Linux自有服务及软件包
  3. mysql分区有好处吗_mysql 分区有实用价值吗?
  4. vb.net2019- 机器学习ml.net情绪分析(1)
  5. APC UPS报错一例
  6. nodejs+express整合kindEditor实现图片上传 - 木子丰咪咕晶 - 开源中国
  7. POJ1179,P4342-[IOI1998]Polygon【区间dp】
  8. git删除本地分支、删除远程分支 复制分支
  9. 逼自己玩命学了6个多月,吃透了这19个架构视频!分享给你,让你今年进个大厂!...
  10. Blazor 状态管理
  11. 性能测试(三)Jmeter工具
  12. mySql 修改字段名
  13. push指令的执行过程
  14. 图论:有源汇有上下界最小流
  15. 那些花儿,从零构建Vue工程(webpack4 Eslint git hooks...)
  16. 如何在python中实现capl语言里的回调函数
  17. NETBEAN 启动报错 CANNOT LOCATE JAVA INSTALLATION IN SPECIFIED JDKHOME的解决办法
  18. java mp3转midi_javax_sound_midi-_player 将mid音频文件用java来实现它的播放和使用 - 下载 - 搜珍网...
  19. 网站资源文件下载不了怎么办?一个方法教你如何轻松扒下
  20. 微信小程序游戏开发介绍,微信互动游戏有哪些?

热门文章

  1. html中注释有几种_历史尝试:小白HTML学习笔记(2)
  2. sklearn gridsearchcv_Sklearn与Tensorflow的完美结合
  3. 内存泄漏的原因及解决办法_探索内存碎片化 - 第288篇
  4. 让用户感到体贴登录页设计灵感
  5. 找不到图片素材,看这里
  6. UI设计素材干货|可临摹的时尚播放页面模板
  7. 设计干货素材|使用纹理背景的技巧
  8. sme是什么职位_学云计算能从事哪些岗位 未来职业发展是什么样
  9. AMD: Developer Guides, Manuals ISA Documents
  10. Linux网络协议栈:关闭一个还有没发送数据完的TCP连接