Falco

<p><a href="https://falco.org/">falco</a> のルールは、そこそこ柔軟に書けるのだが、故にバイパスできてしまうよという話。</p> <h2 id="1-procselfroot-を使う">1. <code>/proc/self/root</code> を使う</h2> <p>falco のデフォルトルールに <code>/etc/shadow</code> な...

<p><a href="https://blog.ssrf.in/post/profile-event-in-container-with-cxray/">以前</a> は BPF を使ってコンテナの中のイベントを取得する <a href="https://github.com/mrtc0/cxray">cxray</a> を作った話を書いた。<br> cxray で現在取得できるイベントは次の4...

<p><a href="https://blog.ssrf.in/post/bpf-trace-container-execve/">前回</a>は bcc を使ってコンテナ内の execve を取得する方法について書きました。<br> 最近 <a href="https://github.com/falcosecurity/falco">falco</a> などを使い、Kubernetes の ...