Weaponizing Distroless

Що таке Distroless

Контейнер distroless — це тип контейнера, який містить лише необхідні залежності для запуску конкретного застосунку, без будь-якого додаткового програмного забезпечення або інструментів, які не є необхідними. Ці контейнери розроблені, щоб бути легкими та безпечними наскільки це можливо, і вони прагнуть мінімізувати поверхню атаки, видаляючи будь-які непотрібні компоненти.

Контейнери distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.

Деякі приклади контейнерів distroless:

• Надано Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images

Озброєння Distroless

Мета озброєння контейнера distroless полягає в тому, щоб мати можливість виконувати довільні двійкові файли та корисні навантаження, навіть з обмеженнями, які накладає distroless (відсутність загальних двійкових файлів у системі), а також захистами, які зазвичай зустрічаються в контейнерах, такими як тільки для читання або без виконання в /dev/shm.

Через пам'ять

Приблизно в якийсь момент 2023 року...

Через існуючі двійкові файли

openssl

****У цьому пості, пояснюється, що двійковий файл openssl часто зустрічається в цих контейнерах, можливо, тому що він потрібен програмному забезпеченню, яке буде працювати всередині контейнера.