По вашему запросу ничего не найдено :(
Убедитесь, что запрос написан правильно, или посмотрите другие
наши статьи:
Файловые системы и UUID имеют особую взаимосвязь в системах Linux. Что это за очень длинные идентификаторы и как проследить связи между ними и разделами диска?
Файл /etc/fstab - очень важный файл в системах Linux. Он содержит информацию, которая позволяет системе подключаться к разделам диска и определять, где они должны быть смонтированы в файловой системе. Хотя этот файл играл важную роль на протяжении многих лет, его формат изменился с введением UUID и, в некоторых системах, более надежного типа файловой системы.
Вот пример файла /etc/fstab в системе Fedora:
Каждая строка в файле (кроме комментариев) представляет файловую систему и имеет шесть полей.
Описывает раздел диска
Определяет точку монтирования
Показывает тип файловой системы
Предоставляет варианты монтирования
Определяет, может ли файловая система быть выгружена (0 = нет) с помощью команды dump (не часто)
Определяет, должна ли проверка файловой системы выполняться во время загрузки (0 = нет)
Файловая система btrfs - это современная файловая система с копированием при записи (copy-on-write- CoW) для Linux, которая предоставляет расширенные функции, а также уделяет особое внимание отказоустойчивости, восстановлению и простому администрированию.
Файл /etc/fstab, показанный выше, необычен тем, что новая ОС была только недавно установлена на /dev/sda, а папка /home из системы перед обновлением (на отдельном диске) была затем перемонтирована после того, как первая ссылка на /home была закомментирована.
Что такое UUID?
Те длинные идентификаторы устройств, которые вы видите в файле /etc/fstab и которые помечены UUID (универсальный уникальный идентификатор), имеют длину 128 бит (32 шестнадцатеричных символа) и расположены в последовательности символов 8-4-4-4-12. Один из способов увидеть, как UUID соединяются с именами устройств (например, /dev/sda1), - это использовать команду blkid.
Вы также можете проверить файл by-uuid, чтобы просмотреть взаимосвязь:
Устройство 76E8-CACF, смонтированное как /dev/sdc1, - это временно используемый USB-накопитель.
Вы можете получить представление о том, как Linux генерирует UUID, выполнив команду uuidgen. Проверьте, есть ли он в вашей системе, набрав команду which uuidgen. Эти идентификаторы для всех практических целей уникальны. Когда вы введете команду uuidgen, вы получите любой из более чем 3.40 ? 1038 возможных ответов.
Использование lsblk
Еще один удобный способ просмотра файловых систем - это команда lsblk, которая дает четкое представление о том, как файловые системы связаны, а также о точках монтирования, размерах устройств и основных/второстепенных номерах устройств. Эта команда упрощает визуализацию разделов на каждом диске.
Не секрет, что на сегодняшний день Kubernetes стал одной из лучших оркестраторов контейнерных платформ. Более 80% организаций сегодня используют Kubernetes в тех или иных целях. Он просто автоматизирует конфигурирование и управление контейнерами.
Но помимо простоты, безопасность также является одной из наиболее важных частей любого контейнерного приложения. Вы должны знать, как обеспечить надежную безопасность приложений, работающих в кластере Kubernetes. Вопросы безопасности в последние несколько лет экспоненциально возрастают, поэтому каждая организация сосредотачивает внимание на этой области.
Если вы знакомы с Kubernetes, то вы знаете, что, по умолчанию, Kubernetes назначает IP-адрес каждому порту в кластере и обеспечивает безопасность на основе IP. Но он предоставляет только основные меры безопасности. Когда речь заходит о расширенном мониторинге безопасности и обеспечении соответствия нормативным требованиям, к сожалению, Kubernetes не обеспечивает нужного уровня безопасности. Но, к счастью, есть сторонние сканеры Kubernetes с открытым исходным кодом, которые могут помочь вам защитить ваши кластеры Kubernetes.
Вот несколько преимуществ использования сканеров Kubernetes:
Определение неправильных настроек и уязвимостей в кластере, контейнерах, модулях
Предоставляет решения для исправления неправильных настроек и устранения уязвимостей
Дает представление о состоянии кластера в реальном времени.
Дает больше уверенности команде DevOps в необходимости разработки и развертывания приложений в кластере Kubernetes
Помогает избежать сбоя кластера, выявляя проблему на ранней стадии.
Рассмотрим следующие инструменты, которые помогут найти уязвимость и неправильную конфигурацию системы безопасности для обеспечения безопасности контейнерных приложений.
1. Kube Hunter
Kube Hunter - это средство поиска уязвимостей от Aqua Security. Этот инструмент очень полезен для повышения уровня безопасности кластеров Kubernetes. Этот инструмент для выявления уязвимостей предлагает несколько стандартных вариантов сканирования, таких как удаленный, чересстрочный, сетевой.
Он содержит список активных и пассивных тестов, которые могут идентифицировать большинство уязвимостей, присутствующих в кластере Kubernetes.
Существует несколько различных вариантов использования этого инструмента.
Можно загрузить архив, извлечь его или использовать pip для непосредственной установки Kube Hunter на машину с сетевым доступом к кластеру Kubernetes. После установки можно начать сканирование кластера на наличие уязвимостей.
Второй способ использования Kube Hunter - в качестве контейнера Docker. Вы можете непосредственно установить Kube Hunter на машину в кластере, а затем проверить локальные сети для сканирования кластеров.
И третий способ - запустить Kube Hunter как под внутри Kubernetes кластера. Это помогает находить уязвимости в любых модулях приложений.
2. KubeBench
Kube Bench является одним из инструментов обеспечения безопасности с открытым исходным кодом, которые проверяют соответствие ваших приложений эталонному стандарту безопасности CIS (Center for Internet Security).
Он поддерживает тесты для нескольких версий Kubernetes. Кроме того, он также указывает на ошибки и помогает в их исправлении. Этот инструмент также проверяет настройки авторизации и аутентификации пользователей, а также уровень шифрования данных. Это гарантирует, что приложение соответствует требованиям CIS.
Возможности KubeBench:
Написано как приложение Go
Тест для мастеров и узлов Kubernetes
Доступно как контейнер
Тесты определены в YAML, что упрощает расширение и обновление
Поддержка выходных данных формата JSON
3. Checkov
Checkov - это средство безопасности, используемое для предотвращения неправильных настроек облака во время сборки Kubernetes, Terraform, Cloudformation, Serverless фреймворков и других сервисов типа Infrastructure-as-code-language. Он написан на языке Python и направлен на повышение эффективности внедрения безопасности и соответствия передовым практикам.
Можно выполнить сканирование с помощью Checkov для анализа сервисов типа Infrastructure-as-code-language
Функции Checkov:
Открытый и простой в использовании
Более 500 встроенных политики безопасности
Передовые практики обеспечения соответствия для AWS, Azure и Google Cloud
Поддержка нескольких форматов вывода - CLI, JUnit XML, JSON
Интеграция сканирований в конвейеры ci/cd
Выполняет сканирование входной папки, содержащей файлы Terraform & Cloudformation
4. MKIT
MKIT означает управляемый инструмент проверки Kubernetes. Этот инструмент помогает быстро выявлять ключевые угрозы безопасности кластеров Kubernetes и их ресурсов. Он имеет быстрые и простые методы для оценки неправильных настроек в кластере и рабочих нагрузках.
Инструмент поставляется с интерфейсом, который по умолчанию работает на http://localhost:8000. Инструмент дает представление о неуспешных и успешных проверках. В разделе «Затронутые ресурсы» вы получите подробные сведения о затронутых и не затронутых ресурсах.
Функции MKIT:
Создана с использованием всех библиотек и инструментов с открытым исходным кодом
Простота установки и использования
Поддержка нескольких поставщиков Kubernetes - AKS, EKS и GKE
Хранение конфиденциальных данных внутри контейнера
Предоставляет веб-интерфейс
5. Kubei
Kubei используется для оценки непосредственных рисков в кластере Kubernetes. Большая часть Kubei написана на языке программирования Go. Он охватывает все эталонные тесты CIS для Docker.
Он сканирует все образы, используемые кластером Kubernetes, прикладные и системные модули и т.д. Вы получаете несколько вариантов настройки сканирования с точки зрения уровня уязвимости, скорости сканирования, области сканирования и т.д. С помощью графического интерфейса можно просмотреть все уязвимости, обнаруженные в кластере, и способы их устранения.
Основные характеристики Kubei:
Сканер уязвимостей среды выполнения Kubernetes с открытым исходным кодом
Проверяет общедоступные образы, размещенные в реестре
Предоставляет состояние работоспособности кластера в режиме реального времени
Веб-интерфейс пользователя для визуализации сканирований
Предоставляет несколько пользовательских параметров для сканирования
6. Kube Scan
Kube Scan - это сканер контейнера, который сам поставляется как контейнер. Вы устанавливаете его в новый кластер, после чего он сканирует рабочие нагрузки, выполняющиеся в данный момент в кластере, и показывает оценку риска и сведения о рисках в удобном веб-интерфейсе. Риск оценивается от 0 до 10, 0 означает отсутствие риска, а 10 - высокий риск.
Формула и правила оценки, используемые Kube scan, основаны на KCCSS, общей системе оценки конфигурации Kubernetes, которая является фреймворком с открытым исходным кодом. Он аналогичен CVSS (Common Vulnerability Scoring System). Он использует более 30 параметров настройки безопасности, таких как политики, возможности Kubernetes, уровни привилегий и создает базовый уровень риска для оценки риска. Оценка риска также основана на простоте эксплуатации или уровне воздействия и масштабах эксплуатации.
Функции KubeScan:
Инструмент оценки рисков с открытым исходным кодом
Веб-интерфейс пользователя с оценкой рисков и подробностями оценки рисков
Выполняется как контейнер в кластере.
Регулярные сканирование кластера каждые 24 часа
7. Kubeaudit
Kubeaudit, как предполагает название, является инструментом кластерного аудита Kubernetes с открытым исходным кодом. Он находит неправильные настройки безопасности в ресурсах Kubernetes и подсказывает, как их устранить. Он написан на языке Go, что позволяет использовать его как пакет Go или средство командной строки. Его можно установить на компьютер с помощью команды brew.
Он предлагает различные решения вроде запуск приложений от имени пользователя без рут прав, предоставление доступа только для чтения к корневой файловой системе, избегание предоставления дополнительных привилегий приложениям в кластере для предотвращения общих проблем безопасности. Он содержит обширный список аудиторов, используемых для проверки проблем безопасности кластера Kubernetes, таких как SecurityContext модулей.
Особенности Kubeaudit:
Инструмент аудита Kubernetes с открытым исходным кодом
Предоставляет три различных режима - манифест, локальный, кластер, для аудита кластера
Дает результат аудита на трех уровнях серьезности - ошибка, предупреждение, информация
Использует несколько встроенных аудиторов для аудита контейнеров, модулей, пространств имен
8. Kubesec
Kubesec - это инструмент анализа рисков безопасности с открытым исходным кодом для ресурсов Kubernetes. Он проверяет конфигурацию и файлы манифестов, используемые для развертывания и операций кластера Kubernetes. Вы можете установить его в свою систему с помощью образа контейнера, двоичного пакета, контроллера допуска в Kubernetes или плагина kubectl.
Особенности Kubesec:
Инструмент анализа рисков с открытым исходным кодом
Он поставляется с объединенным HTTP-сервером, который по умолчанию работает в фоновом режиме и слушает порт 8080.
Может запускаться как Kubesec-as-a-Service через HTTPS по адресу v2.kubesec.io/scan
Может сканировать несколько документов YAML в одном входном файле.
Заключение
Указанные средства предназначены для обеспечения безопасности кластера Kubernetes и его ресурсов и затрудняют взлом хакерами приложений, работающих внутри кластера. Сканеры помогут более уверенно развертывать приложения на кластере.
Cron - это демон планирования, который выполняет задачи с заданными интервалами. Эти задачи называются заданиями cron и в основном используются для автоматизации обслуживания или администрирования системы.
Например, вы можете установить задание cron для автоматизации повторяющихся задач, таких как резервное копирование баз данных или данных, обновление системы последними обновлениями безопасности, проверка использования дискового пространства, отправка электронных писем, перезагрузка сервера и так далее. В некоторых приложениях, таких как Drupal или Magento, для выполнения определенных задач требуются задания cron.
Задания cron могут быть запланированы по минуте, часу, дню месяца, месяцу, дню недели или любой их комбинации.
Про Linux за 5 минут