Τι είναι το Distroless

Ένας δοχείο τύπου distroless είναι ένας τύπος δοχείου που περιέχει μόνο τις απαραίτητες εξαρτήσεις για να εκτελέσει μια συγκεκριμένη εφαρμογή, χωρίς κανένα επιπλέον λογισμικό ή εργαλεία που δεν απαιτούνται. Αυτά τα δοχεία σχεδιάστηκαν για να είναι όσο ελαφριά και ασφαλή γίνεται και στοχεύουν να ελαχιστοποιήσουν την επιφάνεια επίθεσης αφαιρώντας οποιαδήποτε περιττή συνιστώσα.

Τα δοχεία distroless χρησιμοποιούνται συχνά σε περιβάλλοντα παραγωγής όπου η ασφάλεια και η αξιοπιστία είναι κρίσιμες.

Ορισμένα παραδείγματα δοχείων distroless είναι:

• Παρέχονται από την Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Παρέχονται από την Chainguard: https://github.com/chainguard-images/images/tree/main/images

Οπλοποίηση του Distroless

Ο στόχος της οπλοποίησης ενός δοχείου distroless είναι να είναι δυνατή η εκτέλεση αυθαίρετων δυαδικών αρχείων και φορτίων ακόμα και με τους περιορισμούς που επιβάλλονται από το distroless (έλλειψη κοινών δυαδικών αρχείων στο σύστημα) και επίσης προστασίες που συνήθως βρίσκονται σε δοχεία, όπως μόνο για ανάγνωση ή μη εκτέλεση στο /dev/shm.

Μέσω μνήμης

Έρχεται κάποια στιγμή το 2023...

Μέσω υπαρχόντων δυαδικών αρχείων

openssl

****Σε αυτήν την ανάρτηση, εξηγείται ότι το δυαδικό αρχείο openssl βρίσκεται συχνά σε αυτά τα δοχεία, πιθανώς επειδή είναι απαραίτητο για το λογισμικό που θα εκτελεστεί μέσα στο δοχείο.

Με την κατάχρηση του δυαδικού αρχείου openssl είναι δυνατή η εκτέλεση αυθαίρετων πραγμάτων.