Комментарии 7
Спасибо большое за статью! +++
По вашему мнению, с каких мер вы бы сами начали усиливать безопасность, что бы общий эффект был максимальный с первых шагов. Особенно если в организации уже есть много чего своего и надо не поломать то, что работает:
distroless, средства статического и динамического анализа...?
С повышения осведомленности руководителей в том, что данный процесс нудно делать. Без поддержки и понимания руководства необходимости процесса, на проведение любых работ не будет выделяться время и ресурсы. А конкретные средства - это зависит от специалистов, которые их будут использовать. Здесь не получится "включил и забыл", как раз таки после этого что-нибудь да поломается :)
автору статьи я желаю попробовать отдебагать проблему в проде, которая не воспроизводится на стейджинге, с контейнером собранным по его заветам, без рута и может даже без шелла и без возможности залить свой образ - доступ только через чужой расшаренный экран, команды для дебага надиктовывать инженеру который имеет доступ. Зато есть sla на время решения.
«Если бы строители строили дома так же как программисты пишут программы, то первый же залетевший дятел разрушил бы цивилизацию»
Сначала сделали docker который без рута работает через одно место и ещё надо постараться его запустить.
Потом стали откуда-то из интернета скачивать образы и запускать их в проде, поскольку поднять свой репозитарий не тривиальная задача и разработчики докера тоже хотят кушать.
При всем при этом, наплевали на всю историю развития Linux/Unix, поскольку сами с усами и у нас тут одно приложение в изолированной среде работает.
А потом удивляемся что все дырявое и подвержено атакам.
«Прогнило что-то в датском королевстве»
Смотрю тут на пример профиля AppArmor. А если сделать жёсткую ссылку на bash и запускать по ссылке? Может быть, даже сработает.
У меня был случай, когда приложение из консоли запускалось, а из-под systemd под той же самой группой и пользователем - нет. Благо, что проблему быстро удалось локализовать (selinux) и додать файловых меток bin_t…
Как собрать контейнер и не вооружить хакера