امنیت کانتینر ها و چالش های آن ها :

مفهوم Containerization نحوه استقرار و مدیریت برنامه ها را تغییر داده است و انعطاف پذیری و مقیاس پذیری را ارائه می دهد. این تغییرات رعایت استانداردهای امنیتی در محیط های کانتینری را به یک حوزه مهم تبدیل کرده است.

حفظ دید در میزبان های کانتینر، اطمینان از رعایت بهترین شیوه ها، و انجام ارزیابی های آسیب پذیری برخی از نگرانی ها در تضمین امنیت موثر هستند.




افزایش پذیرش فناوری‌های کانتینری چالش‌هایی را ایجاد می‌کند که ناشی از ماهیت پویایی و مقیاس بار کاری کانتینری است. مسائل کلیدی در دستیابی به انطباق مقرراتی برای محیط های کانتینری عبارتند از:

ا Container visibility : دستیابی به انطباق مستلزم این است که شرکت ها در تمام بارهای کاری خود دید داشته باشند، اما درک اینکه چه حجم کاری کانتینر در حال اجرا هستند، کجا در حال اجرا هستند و چگونه پیکربندی می شوند ممکن است چالش برانگیز باشد، به خصوص در مقیاس بزرگ. در برخی محیط‌ها، حجم کاری در ابرهای عمومی و خصوصی پخش می‌شود و image ها ممکن است از منابع متعددی تهیه شوند. این مسائل، همراه با پیکربندی های مختلف، دید و امکان تجزیه و تحلیل را دشوارتر می کند.
پیاده سازی های granular access controls: بسیاری از استانداردهای نظارتی، شرکت‌ها را ملزم می‌کنند که کنترل‌های دسترسی دقیق را برای جلوگیری از دسترسی غیرمجاز به داده‌های حساس یا به خطر انداختن سیستم، پیاده‌سازی کنند. برای مثال، PCI DSS از شرکت‌ها می‌خواهد که دسترسی به داده‌های دارنده کارت را به شیوه‌ای که طبق اصل حداقل است محدود کنند. چنین الزامی نیاز به انطباق را حتی در محیط های کانتینری تقویت می کند
مدیریت آسیب‌پذیری‌ها در کتابخانه‌ها و image های خارجی: تصاویر کانتینر که از مخازن نامعتبر یا کتابخانه‌های شخص ثالث و وابستگی‌ها استخراج می‌شوند، می‌توانند آسیب‌پذیری‌ها را به محیط‌های کانتینری معرفی کنند. شرکت‌ها به برنامه‌ای برای کاهش این خطر نیاز دارند و از آن پیروی می‌کنند.


جداسازی منابع : یکی از چالش‌های اصلی امنیت کانتینرها، جلوگیری از نفوذ به کانتینرهای دیگر و همچنین به میزبان می‌باشد. استفاده از ابزارهای مانند Kubernetes Network Policies، Docker Security Profiles و ایجاد تنظیمات امنیتی مناسب می‌تواند کمک کننده باشد. (برای نمونه : استفاده از Seccomp )

#security #container #kernel #k8s #kubernetes #image #devops


https://t.iss.one/unixmens

Building a Modern Data Center (Principles and Strategies of Design)


#devops #security #virtualization #container #compute #storage #linux #network #sddc #cloud #datacenter #ceph #sdn #sds


https://t.iss.one/unixmens

#docker #containerd #linux #kernel #container #k8s #kubernetes #devops

https://t.iss.one/unixmens

#lxc #container @unixmens

Created container centos02 as copy of centos01
اکنون می توان کانتینر centos02 را start کرد :
#lxc-start -n centos02
و برای اتصال به آن نیز کافیست تا این دستور را اجرا کرد :
#lxc-console -n centos02
جهت خاموش کردن یک کانتینر نیز می توانید پس از ورود به آن دستور poweroff را اجرا نمایید.
گرفتن snapshot از یک کانتینر :
جهت snapshot گرفتن از یک کانتینر ابتدا کافیست تا این دستور را اجرا کنید :
#lxc-stop -n centos01
سپس این دستور را اجرا کنید :
#lxc-snapshot -n centos01
در ubuntu 15.04 فایل های snapshots در این مسیر ذخیره می شوند :
/var/lib/lxc/
در ubuntu 14.04 فایل های snapshots در این مسیر ذخیره می شوند :
/var/lib/lxcsnaps/
بازیابی Snapshots :
جهت بازیابی یک کانتینر از snapshot کافیست تا این دستور را اجرا کنید :
#lxc-snapshot -n centos01 -r snap0
حذف Containers :
جهت حذف کامل یک کانتینر از روی Host کافیست تا این دستور را اجرا کنید :
#lxc-destroy -n centos01
مدیریت Container ها با استفاده از پنل تحت وب LXC :
اگر تمایل به مدیرت LXC از طریق کنسول را ندارید.می توانید از LXC web panel استفاده کنید و به راحتی و با استفاده از یک مرورگر وب کانتینر های خود را مدیریت کنید.
جهت نصب LXC web panel این دستور را اجرا کنید :
#wget https://lxc-webpanel.github.io/tools/install.sh -O – | sudo bash
خروجی دستور بالا را در پایین مشاهده می کنید :
wget https://lxc-webpanel.github.io/tools/install.sh -O – | sudo bash
–۲۰۱۵-۰۶-۱۳ ۱۶:۵۲:۲۹– https://lxc-webpanel.github.io/tools/install.sh
Resolving lxc-webpanel.github.io (lxc-webpanel.github.io)… ۲۳٫۲۳۵٫۴۳٫۱۳۳
Connecting to lxc-webpanel.github.io (lxc-webpanel.github.io)|23.235.43.133|:80… connected.
HTTP request sent, awaiting response… ۲۰۰ OK
Length: ۲۶۷۸ (۲٫۶K) [application/octet-stream]
Saving to: STDOUT
۱۰۰%[===================================>] ۲,۶۷۸ –.-K/s in ۰s
_ _____ _ _ _
| | \ \ / / __| \ \ / / | | | \ | |
| | \ V / | \ \ /\ / /| | | |) |_ _ _ _| |
| | > <| | \ \/ \/ / _ \ ‘_ \ | _/ _` | ‘_ \ / _ \ |
| |__ / . \ |__ \ /\ / / |_) | | | | (_| | | | | / |
|__/_/ \_\_____| \/ \/ \___|_./ |_| \,_|_| |_|\___|_|
Automatic installer
۲۰۱۵-۰۶-۱۳ ۱۶:۵۲:۳۰ (۳۹۳ MB/s) – written to stdout [۲۶۷۸/۲۶۷۸]
Installing requirement…
+ Installing Python pip
.
.
.
.
.
Successfully installed flask Werkzeug Jinja2 markupsafe
Cleaning up…
Cloning LXC Web Panel…
Cloning into ‘/srv/lwp’…
remote: Counting objects: ۱۶۷, done.
Receiving objects: ۱۰۰% (۱۶۷/۱۶۷), ۱۴۸٫۸۵ KiB | ۰ bytes/s, done.
remote: Total ۱۶۷ (delta ۰), reused ۰ (delta ۰), pack-reused ۱۶۷
Resolving deltas: ۱۰۰% (۶۳/۶۳), done.
Checking connectivity… done.
Installation complete!
Adding /etc/init.d/lwp…
Done
Starting server…done.
Connect you on https://your-ip-address:5000/
برای دسترسی به LXC web panel کافیست تا یک مرورگر وب باز کرده و IP سرور خود با پورت ۵۰۰۰ را درون آن وارد کنید.
#lxc #container @unixmens

#lxc #container @unixmens

#lxc #container @unixmens

#lxc #container @unixmens

مفهوم buildx در داکر چیست ؟




ا Buildx یک ابزار پیشرفته برای ساخت و مدیریت تصاویر Docker است که امکانات فراوانی برای ساخت و توسعه تصاویر Docker ارائه می‌دهد. این ابزار توسط Docker CLI ارائه شده و از Docker BuildKit (که یک موتور ساخت مدرن برای Docker است) بهره می‌برد. با استفاده از buildx می‌توانید تصاویر Docker را به صورت موازی ساخته و برای محیط‌های مختلف بهینه کنید.

کاربردهای اصلی buildx شامل موارد زیر می‌باشد:
ا. Build Multi-platform Images: یکی از ویژگی‌های برجسته buildx این است که این ابزار به شما امکان ساخت تصاویر چندپلتفرمی (multi-platform) را می‌دهد. این به این معنی است که می‌توانید یک تصویر Docker را برای معماری‌های مختلف مانند amd64، arm64 و armv7 بسازید. این ویژگی بسیار مفید است زمانی که نیاز به ارائه برنامه در محیط‌های متنوعی با معماری‌های مختلف دارید.

ا Cache Management: در واقع buildx ابزارهای بهینه‌ پیشرفته‌ای برای مدیریت حافظه نهان (cache) دارد. این ابزار به شما کمک می‌کند تا سرعت ساخت تصاویر Docker را بازدهی کنید و زمان ساخت‌های مکرر را بهبود بخشید.

۳. محیط Build مجازی: با استفاده از buildx، می‌توانید محیط‌های ساخت (build environment) مجازی بسازید. این به شما امکان می‌دهد که در محیط‌های جداگانه با تنظیمات مخصوص به خود تصاویر Docker را بسازید، که می‌تواند برای تست‌های اتوماتیک یا ایجاد محیط‌های توسعه مجزا مفید باشد.

۴. توزیع بهتر بسته‌ها: buildx از ویژگی‌هایی مانند توزیع هوشمند بسته‌ها (package distribution) برای کاهش اندازه تصاویر Docker استفاده می‌کند. این ویژگی به شما امکان می‌دهد که بسته‌ها را در سطح فایل‌های لایه‌ای بهینه کنید و از اندازه نهایی تصاویر کاسته شود.

به طور خلاصه، buildx ابزاری قدرتمند برای ساخت تصاویر Docker با امکانات پیشرفته و امکانات چندپلتفرمی است که به توسعه‌دهندگان و مدیران سیستم‌های کنتینری اجازه می‌دهد که تصاویر خود را بهبود بخشند و با موفقیت در محیط‌های متنوع اجرا کنند.


#devops #docker #linux #kernel #container #kubernetes

https://t.iss.one/unixmens

wazuh good tools for container security and k8s


Wazuh is an open-source security monitoring platform that provides security visibility, compliance, and threat detection capabilities for various environments, including on-premises, cloud, and hybrid environments. It is based on the widely-used ELK Stack (Elasticsearch, Logstash, and Kibana) and additionally includes the Wazuh manager, Wazuh agents, and API components.

The key features of Wazuh include:

1. Security Information and Event Management (SIEM): Wazuh collects, analyzes, and correlates security events, providing real-time insight into potential threats and security incidents.

2. Intrusion Detection System (IDS): Wazuh can detect intrusions, suspicious activities, malware, and other security threats by analyzing logs and events from various sources.

3. File Integrity Monitoring (FIM): Wazuh monitors critical files and directories for changes, helping to detect unauthorized modifications or tampering with system files.

4. Vulnerability Detection: Wazuh can help identify vulnerabilities in systems and applications by analyzing configuration files, system logs, and known issues databases.

5. Compliance Monitoring: Wazuh can be used to ensure compliance with security standards and regulations by monitoring and reporting on security controls.

Overall, Wazuh is a comprehensive security monitoring solution that can enhance the security posture of an organization by providing real-time threat detection, incident response capabilities, and compliance monitoring in a single platform.


You can integrate Wazuh with your Docker host or Kubernetes cluster thanks to its native integration with the Docker engine. Primarily, you can deploy a Wazuh agent to a Kubernetes DaemonSet so the agent gets installed on all your Kubernetes nodes.
Some of the alerts that you can receive when Wazuh is deployed include:
A Docker image is downloaded or updated
A container is running in privileged mode
A new container or Pod is created
A user runs a command or a shell inside a container
Vulnerabilities are detected on the Docker host


#security #wazuh #linux #container #k8s

https://t.iss.one/unixmens