タグ検索の該当結果が少ないため、タイトル検索結果を表示しています。
前回の連載が掲載されたあと、久々にコンテナの勉強会をオンラインで開催しました。2回に渡って、cgroupをテーマにカーネルの実装に踏み込んだ内容のお話が聞けました。私もcgroup v1の内部構造についてお話しました。動画は公開されていますのでぜひご覧ください。 さて、今年も気がつけばもう12月で、Advent Calendarの季節になりました。今年はいろいろなことがありましたが、今振り返るとあっという間だった気がします。今年もこの連載で毎年参加しているLinux Advent Calendarに参加します。この記事はLinux Advent Calendar 2020の15日目の記事となります。 この連載は、名前に「LXCで学ぶ」と付いているわりには、最近まったくLXCが出てきませんでしたが(^_^;)、今回は久々にLXCコンテナを使って機能の説明をしたいと思います。とは言ってもLXC
Docker と seccomp を組み合わせてシステムコールを制限する - kakakakakku blog
seccomp (Secure computing mode) はプロセスに対してシステムコールを制限する Linux kernel の機能で,今回は「Docker と seccomp」を組み合わせて試す.ドキュメントは以下にある. docs.docker.com seccomp デフォルトプロファイル まず,Docker はデフォルトで seccomp をサポートしている.Docker (Moby) の GitHub リポジトリにデフォルトプロファイル default.json がある.プロファイルは長く感じるけど,比較的簡単に読める.基本的に SCMP_ACT_ERRNO(拒否) となり,ホワイトリストとして列挙したシステムコールを SCMP_ACT_ALLOW(許可) としている. moby/default.json at master · moby/moby · GitHub 基本
2022/03/09 OCHaCafe5 #3 Kubernetes のセキュリティ コンテナセキュリティにおける権限制御 〜Seccompとかよくわからんけどとりあえずこれくらいはやっておこう〜 セッション動画 https://ochacafe.connpass.com/event/238355/
sandbox/linux/seccomp-bpf/sandbox_bpf.cc - chromium/src - Git at Google
// Use of this source code is governed by a BSD-style license that can be
2021.04.17 第14回 コンテナ技術の情報交換会@オンライン https://ct-study.connpass.com/event/205571/
The Seccomp Notifier - New Frontiers in Unprivileged Container Development
Introduction As most people know by know we do a lot of upstream kernel development. This stretches over multiple areas and of course we also do a lot of kernel work around containers. In this article I’d like to take a closer look at the new seccomp notify feature we have been developing both in the kernel and in userspace and that is seeing more and more users. I’ve talked about this feature qui
ZOZOでSREをしている @calorie です。よろしくお願いします。 この記事について seccompとInspektor Gadgetを使いPodのシェルへのアクセスを制限する様子を紹介します。 seccomp seccompはシステムコールを制限するためのカーネルの機能です。以下のスライドが詳しいです。 Kubernetesではノードにseccomp profileをロードし、Podから参照することで使えます。 seccomp profileを書いてシステムコールを制限できればセキュアなPodが手に入りますが、 人の手でシステムコールを取捨選択するのは大抵の場合難しいはずです。 なので、seccomp profileを自動生成したいです。 有名なものであればdocker-slimが挙げられますが、ドキュメントを見る限りはイメージからseccomp profileを生成しているので
TLPI WebサイトのSeccomp user space notification サンプルを触ってみた - ローファイ日記
Linuxアドベントカレンダー2020 その2 16日目の記事です。昨日はn01e0さんのreadfile(2) のいい話 でした。 qiita.com ところでその1では、先日、tenforwardさんによりSeccomp user space notificationの分かりやすい解説記事が上がっていました。 gihyo.jp 今日もSeccomp user space notificationのお話の流れに乗っかろうと思います。ではやっていきましょう。 Seccomp の仕組み(コード編) Seccomp はLinuxにおける、システムコールのフィルタリングの仕組みです。詳細な説明は上述のtenforwardさんの記事に譲りますが...。 拙作 mruby-seccomp を用いたフィルターの例を示します。mruby-seccompを組み込んだmrubyで以下のスクリプトを起動すると
News I gave a talk at FOSDEM 2020 on the topic of this blog post, with some additional information on the BPF algorithms used in strace. The slides are hosted on this site and the recording on FOSDEM’s website. Demo The latest strace release (v5.3) has a new (experimental) feature to boost performance. In this post, I’ll explain how it works and some of its limitations. Let’s first try it out on a
Kubernetes と seccomp を組み合わせてシステムコールを制限する - kakakakakku blog
前回の記事では seccomp (Secure computing mode) に入門するために「Docker と seccomp」を組み合わせて試した.docker run コマンドの --security-opt オプションを使って seccomp プロファイルを指定した. kakakakakku.hatenablog.com 今回は「Kubernetes と seccomp」を組み合わせて試す.設定や手順などは以下のドキュメントに詳しく載っている. kubernetes.io 検証環境 まず,kind を使って検証環境を構築する.以下の kind-config.yaml のように,ワーカーノードに seccomp プロファイルを置いたホスト側のディレクトリをマウントする(kubelet に読み込ませる).ドキュメントには ./profiles と書いてあるけど,今回は Docker
j次のブックマーク
k前のブックマーク
lあとで読む
eコメント一覧を開く
oページを開く
第47回 非特権コンテナの可能性を広げるseccomp notify機能 | gihyo.jp
container-seccomp
突然の「Operation not permitted」-Dockerが採用するセキュリティ機構「Seccomp」とは何か? #docker #seccomp #mirantis - クリエーションライン株式会社
Introduction to Seccomp
seccompとInspektor Gadgetで目指すセキュアなKubernetes - Qiita
Introducing strace –seccomp-bpf
news.yahoo.co.jp
ja.wikipedia.org
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp
news.yahoo.co.jp