码头环境中的osquery

Question

目前，我正在研究Docker环境中的安全监视，并希望探索使用奥斯查询从容器中收集活动的可能性，但我遇到了一些安全难题，我想了解一些想法和反馈：

在基础设施中的每个Docker容器上运行osquery将提供很好的态势感知能力，但不幸的是，osquery无法在精简的、以安全为重点的阿尔卑斯Linux发行版上运行，这意味着整个Docker容器团队将需要基于更多臃肿的图像，例如Debian或Ubuntu，如果它们能够访问容器，攻击面和攻击者的可能性就会大得多。

是否通常会在货柜上提出质疑，抑或只是把它们当作只有极小攻击面的哑巴牛，如果有异样的迹像，便可将它们打中，然后在码头主机上进行先进的监察？

Answer 1

码头从来都不是安全和特权分离的目标。Docker的目标是能够在任何东西上快速安装和部署容器。

出于这个原因，将任何东西放入码头容器(包括安全工具)是一种常见的做法，但对于从容器跳入物理机器(尽管这样做看起来更难)，这并不是一种强硬的做法。

下载一个码头容器，在上面写一个10行长的脚本，这不是一种常见的做法，它将像魅力一样工作。是的，这是码头商提供的，但它没有实现它。其主要原因是安全性--并不是真正的安全--增强了安全性，它们需要禁用许多重要的linux内核特性(例如，它们只是禁用了unix数据报套接字，这就是syslogd在坞容器中不能很好地工作的原因)。

如果osquery对至少两个不同的发行版(基于deb和rpm的发行版)有效，那么是的，它也应该适用于阿尔卑斯山。但让它发挥作用是你的任务。

当然，您可以让osquery工作，但这并不容易。您将不得不深入挖掘osquery，高寒和码头。因此，您将能够构建一个osquery容器，您将能够将其用作进一步开发的基础。