概要 脆弱性有無の判定 被害調査 恒久対策 緩和策 log4shell(CVE-2021-44228)が先週金曜日頃から話題になり一週間経ちました。 CVSSが最大スコア10ということで、いろいろなところで被害調査や対策実施に追われていたのではないでしょうか。logging.apache.o…

戦艦陸奥の主砲砲身 軍港ツアー 記念艦三笠 たまには外出しようということで、記念艦三笠や軍港ツアー目当てで、横須賀に行ってきました。 先週参加したhardeningの記憶が吹き飛ぶ程度には楽しめました。 戦艦陸奥の主砲砲身 横須賀駅からすぐのヴェルニー公…

Hardening 2021 Active Faultに参加してきました。所属チームエンディングムービー Aftershock youtu.beHardeningは、6名-10名程度のチームでECサイトを運営して、堅牢化や攻撃に対する対処などの技術面に加えて、顧客からの問い合わせや会見などのビジネス…

運用 熱 電気代 収益 構築 マイニングソフト グラボ構成 パーツ 電源 マザーボード ライザーカード リグフレーム ファン 電源ボタン 無線端子 ペリフェラル・SATA給電変換ケーブル その他 まとめ 生活費圧縮計画の一環で新しい暖房器具を導入しました。冬の…

podの中身 pod作成概要 ポッド作成の流れ syncLoopIteration HandlePodAdditions UpdatePod syncPodFn kubeRuntimeManager.Syncpod createPodSandbox RunPodSandbox(CRI client) RunPodSandbox(docker) RunPodSandbox(containerd) startContainer kubeletとC…

環境 Argo CDインストール ポッドの確認 サービスの確認 CLIのダウンロード argocd-server へのアクセス リポジトリ登録 k8sにデプロイするサンプルアプリとサービス 手動同期 自動同期 CICDパイプラインの作成 kurobato.hateblo.jp 前回はDockerfileのリポ…

アプリケーションとDockerfileの用意 GitHub Actionsのセットアップ Secretの登録 ローカルリポジトリとの同期 ワークフローの設定 リポジトリへのプッシュ ワークフローの確認 Docker Hubの確認 まとめ CICDはAWS CodeXシリーズしか触ったことがなかったの…

virtualboxのインストール kubectlのインストール dockerのインストール(VirtualBox型Kubernetesでは不要) minikubeのインストール kubernetesの構築 virtualbox版 docker版 Istioの構築 Istioパッケージのダウンロード サンプル設定の適用 サンプルアプリケ…

インストール 動作確認 シグネチャ機能 トレース機能 今回のテーマはAqua社が主導するコンテナトレーサ:traceeです。 システムコールフックのeBPFを利用していることからsysdig社Falcoが類似ツールだと思います。 aquasecurity.github.io インストール #eBPF…

インストール 設定ファイル 動作確認 Falcoを少し触ってみたのでメモ。 Falcoはシステムコールベースの脅威アラート機能を提供するOSSです。 MITRE ATT&CKの内容も取り込まれているようです。falco.org Matrix - Enterprise | MITRE ATT&CK® インストール ド…

National Security Agency（NSA）とCyber​​security and Infrastructure Security Agency（CISA）がKubernetes Hardening Guidanceなるものを公開していた模様。 目新しい情報はなさそうですが、抽象対策と実装対策がコンパクトに整理されていて読みやすいと…

Dockerfileのスキャンツール hadolint Trivy インストール Trivy hadolint 使い方 比較 検証1 検証2 検証3 検証4 まとめ 脆弱性スキャナのTrivyが設定ミスも検出できるようになったらしいので、少し触ってみました。 Dockerfileのスキャンツール hadolint gi…

引越しプラン スケジュール決め 住居探し 内見 契約 予算 住居種別 個人寮と集合寮 鉄筋と木造 立地条件 駅、勤務地からの所要時間 店舗へのアクセス 窓、方角、階層 室外設備 災害耐性 治安 必須条件と優先順位の決定 契約と責任範囲 物件選びのポイント 部…

電撃殺虫機 アルコールスプレー スイッチマイク ソーラー監視カメラ 宅配box 米びつ スマホアーム 中華ルンバ L字デスク 加湿器 社会人になって一年以上経つにもかかわらず出社回数が両手の指で足りる状態の鳩ぽっぽ。 そんな引籠りエバンジェリストが在宅便…

責任共有モデル Self Managed Workers Mangaed Node Groups EKS Fargate セキュリティ考慮 ユーザアクセス制御 ネットワーク インフラ Kubernetes masterコンポーネント ポッド アドミッションコントロール 参考 今回はクラウドKubernetesサービス(別名フル…

モチベーション CISSP 概要 セキュリティとリスクマネジメント 機密性、完全性、可用性 セキュリティガバナンス 効果的なセキュリティプログラム コンプライアンス 法規制 倫理 セキュリティポリシー 事業継続と災害復旧 人的セキュリティ リスクマネジメン…

スキャンの種類 静的スキャン アプリケーションコード Dockerfile コンテナイメージ 動的診断 アプリケーション プラットフォーム TrivyとDocker scan いつの間にかLinuxのDocker cliで脆弱性診断できるようになってたようです。 matsuand.github.ioDevOps、…

参考 コンテナランタイム コンテナオーケストレータ まとめ 参考 www.scsk.jp www.stackrox.com docs.microsoft.com cloud.google.com www.redhat.com コンテナランタイム こちらは、2020年におけるsysdigユーザのコンテナランタイム利用実態の調査結果です…

参考 Architecture Scope tasks service:Create TaskManager.Create startShim shim.Create NewContainer newInit NewRunc process.New Init.Create Runc.Create 今回のテーマは高レベルコンテナランタイムcontainerdの内部処理についてです。 こちらは、202…

参考 おさらい runc architecture file main.go and command process runc create setupSpec startContainer linuxContainer LinuxFactory createContainer CreateLibcontainerConfig loadFactory factory.Create runner.run newProcess linuxContainer.Star…

参考 OCI image(image-spec) OCI runtime bundle(runtime-spec) runcでコンテナを起動 コンテナイメージ第2弾です。 前回はDockerイメージとコンテナランタイムを紹介しました。kurobato.hateblo.jp今回は、下記の構成になります。 ・DockerイメージをOCIイ…

Dockerイメージの中身 manifest.json Config Layers コンテナランタイム Dockerイメージの内容を確認してみます。 Dockerイメージの中身 Dockerイメージをダウンロードしてtar形式で保存します。 $docker image pull ubuntu:latest $mkdir docker-image $cd …

トレンドマイクロ:Cloud Oneセミナー聴講のまとめです。 テーマは、サーバレスサービスのランタイム防御を提供するRASP (Runtime Application Self Protection)です。 セミナー聴講して くっきりとした姿が見えているわけではないけど、おぼろげながら、浮か…

ISMAP登録サービス 政府系ガイドライン クラウドセキュリティガイドライン CSAとISMAP 政府統一基準の改定案 ISMAP登録サービス ISMAP(Information system Security Management and Assessment Program)は、政府が求めるセキュリティ要件を満たしているクラ…

集中防御方式 脅威分析 攻防バランスとリスク評価 多層防御 海軍の歴史とサイバーセキュリティの未来 本稿は下記の記事を整理してアレンジを加えたものです。「大和」は、1940年8月に進水した世界最大の6万4000トンの基準排水量と、世界最大の18インチ（46セ…

テーマ 補足 特権コンテナによるホストOSへのアクセス 後片付け 第6弾は特権コンテナをテーマにした演習です。 テーマ docker run –privilegedオプション uevent_helper コンテナブレイクアウト 補足 $:ホストOS #:コンテナ内 特権コンテナによるホストOSへ…

テーマ 補足 setuidフラグの付与されたシェルの実行 コンテナ内権限昇格の防止 後片付け 第5弾はコンテナ内特権昇格の演習です。 テーマ ・setuidフラグ・no-new-privilegesオプション 補足 $:ホストOS #:コンテナ内 setuidフラグの付与されたシェルの実行 s…

テーマ 補足 PID名前空間の共有 後片付け 第4弾はcgroupによるリソース制限をテーマにした演習です。 テーマ ・cgroupによるコンテナのリソース制限 ・フォークボム 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドでリソース制限を実施…

テーマ 補足 PID名前空間の共有 後片付け 第2弾では名前空間の共有を確認します。 テーマ 名前空間の共有と脅威 補足 $:ホストOS #:コンテナ内 PID名前空間の共有 docker runコマンドに--pid=hostオプションを指定することによって、ホストのプロセスIDをコ…

テーマ カーネルの共有 ルートファイルシステムの分離 ネームスペースの比較 プロセス一覧の比較 uts名前空間、user名前空間 コンテナに付与された特権 後片付け 第1弾ではコンテナの仕組みを理解するためにコンテナ側とホストOSからリソースの見え方や権限…