Czym jest Distroless

Kontener Distroless to rodzaj kontenera, który zawiera tylko niezbędne zależności do uruchomienia określonej aplikacji, bez dodatkowego oprogramowania ani narzędzi, które nie są wymagane. Kontenery te są zaprojektowane tak, aby były jak lekkie i bezpieczne jak to możliwe, i mają na celu minimalizację powierzchni ataku poprzez usunięcie zbędnych komponentów.

Kontenery Distroless są często używane w środowiskach produkcyjnych, gdzie bezpieczeństwo i niezawodność są najważniejsze.

Niektóre przykłady kontenerów Distroless to:

• Udostępniane przez Google: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Udostępniane przez Chainguard: https://github.com/chainguard-images/images/tree/main/images

Uzbrajanie Distroless

Celem uzbrajania kontenera Distroless jest możliwość wykonywania dowolnych binarnych plików i ładunków nawet przy ograniczeniach wynikających z Distroless (brak powszechnych binarnych plików w systemie) oraz zabezpieczeń często spotykanych w kontenerach, takich jak tylko do odczytu lub brak wykonania w /dev/shm.

Przez pamięć

Wkrótce, około 2023 roku...

Za pomocą istniejących binarnych plików

openssl

****W tym poście wyjaśniono, że binarny plik openssl często występuje w tych kontenerach, prawdopodobnie dlatego, że jest potrzebny przez oprogramowanie, które będzie uruchamiane wewnątrz kontenera.

Wykorzystując binarny plik openssl, można wykonywać dowolne rzeczy.