Weaponizing Distroless
Last updated
Last updated
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Контейнер distroless — це тип контейнера, який містить лише необхідні залежності для запуску конкретного застосунку, без будь-якого додаткового програмного забезпечення або інструментів, які не є необхідними. Ці контейнери розроблені, щоб бути легкими та безпечними наскільки це можливо, і вони прагнуть мінімізувати поверхню атаки, видаляючи будь-які непотрібні компоненти.
Контейнери distroless часто використовуються в виробничих середовищах, де безпека та надійність є найважливішими.
Деякі приклади контейнерів distroless:
Надано Chainguard: https://github.com/chainguard-images/images/tree/main/images
Мета озброєння контейнера distroless полягає в тому, щоб мати можливість виконувати довільні двійкові файли та корисні навантаження, навіть з обмеженнями, які накладає distroless (відсутність загальних двійкових файлів у системі), а також захистами, які зазвичай зустрічаються в контейнерах, такими як тільки для читання або без виконання в /dev/shm
.
Приблизно в якийсь момент 2023 року...
****У цьому пості, пояснюється, що двійковий файл openssl
часто зустрічається в цих контейнерах, можливо, тому що він потрібен програмному забезпеченню, яке буде працювати всередині контейнера.
Вивчайте та практикуйте AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Вивчайте та практикуйте GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)