Profiling Event in Container With Cxray

<p><a href="https://blog.ssrf.in/post/bpf-trace-container-execve/">前回</a>は bcc を使ってコンテナ内の execve を取得する方法について書きました。<br> 最近 <a href="https://github.com/falcosecurity/falco">falco</a> などを使い、Kubernetes の ...

bpf(bcc) を使ってコンテナ内での execve をトレースする

<p>bpf(bcc) の簡単な使い方などについては <a href="https://blog.ssrf.in/post/bpf-memo-1/">前回</a> 書きました。<br> bpf は falco, sysdig, cilium など、Kubernetes 環境で使われるケースも増え、コンテナに対するトレース活用も多く出てきている印象があります。</p> <p>ここでは bcc を使っ...

BPF(bcc)のメモ

<p>bpf や bcc 周りは使わないと忘れてしまうのでメモ。</p> <h1 id="hello-world">Hello, World</h1> <p>clang で bpf オブジェクトを作って C でそれを読み込む&hellip;という方法よりも <a href="https://github.com/iovisor/bcc/">https://github.com/iovisor/bc...

Pod のプロセスの oom_score_adj はどうやって決まるか

<p>Node のメモリが上限に達した場合、プロセスが最初にkillされるのはBestEffort→Burstable→Guaranteed という順番。もし同じ QoS だった場合、 <code>oom_score_adj</code> で決まる。</p> <p>のだけれど、 <code>oom_score_adj</code> はどうやって決まるのだろう&hellip;と気になったのでメモ。<...

Kubernetes クラスタへの攻撃例とその対策

<p>Kubernetes のセキュリティ周りを調べていたので、そのメモです。<br> 間違いや追加の情報があれば <a href="https://twitter.com/mrtc0">@mrtc0</a> までお願いします。</p> <h2 id="kubernetes-version">Kubernetes Version</h2> <ul> <li>1.14.4</li> </ul> <h...

Kubernetes クラスタの audit ログを取得する

<p>Kubernetes でどのような操作が行われたか(audit)のログを取得する方法をメモ。</p> <ul> <li><a href="https://kubernetes.io/docs/tasks/debug-application-cluster/audit/">https://kubernetes.io/docs/tasks/debug-application-cluster/au...

No New Privileges と Docker

<p>Linux に <code>No New Privileges</code> という、子プロセスが新しい特権を取得できないようにする仕組みがある。</p> <ul> <li><a href="https://www.kernel.org/doc/html/latest/userspace-api/no_new_privs.html">https://www.kernel.org/doc/ht...

Kubernetes での Pod のセキュリティ対策

<p>Kubernetes での Pod のセキュリティ対策についてまとめる。<br> ここでは次の3点について書く。</p> <ul> <li><code>securityContext</code> で Pod をセキュアにする方法</li> <li><code>SecurityContextDeny</code> で <code>securityContext</code> を設定させない方...

bccとUSDTを使ってMySQL/PostgreSQLのクエリログを取得する

<p>引越しをして落ち着き始めました。一人暮らしの頃の家電を replace する作業をしている。<br> よろしくおねがいします。</p> <ul> <li><a href="https://www.amazon.jp/hz/wishlist/ls/QH63MJIX20EA?ref_=wl_share">https://www.amazon.jp/hz/wishlist/ls/QH63MJIX2...