Šta je Distroless

Distroless kontejner je vrsta kontejnera koji sadrži samo neophodne zavisnosti za pokretanje određene aplikacije, bez dodatnog softvera ili alata koji nisu potrebni. Ovi kontejneri su dizajnirani da budu što lakši i sigurniji mogući, i cilj im je da minimiziraju površinu napada uklanjanjem svih nepotrebnih komponenti.

Distroless kontejneri se često koriste u proizvodnim okruženjima gde je sigurnost i pouzdanost od velike važnosti.

Neki primeri distroless kontejnera su:

• Pruženi od strane Google-a: https://console.cloud.google.com/gcr/images/distroless/GLOBAL

• Pruženi od strane Chainguard-a: https://github.com/chainguard-images/images/tree/main/images

Oružavanje Distroless

Cilj oružavanja distroless kontejnera je da se omogući izvršavanje proizvoljnih binarnih fajlova i payload-ova čak i sa ograničenjima koja nameće distroless (nedostatak uobičajenih binarnih fajlova u sistemu) i takođe zaštite koje se često nalaze u kontejnerima kao što su samo za čitanje ili bez izvršavanja u /dev/shm.

Kroz memoriju

Dolazi u nekom trenutku 2023...

Putem postojećih binarnih fajlova

openssl

****U ovom postu, objašnjeno je da se binarni fajl openssl često nalazi u ovim kontejnerima, potencijalno zato što je potreban softveru koji će se pokretati unutar kontejnera.

Zloupotrebom binarnog fajla openssl moguće je izvršiti proizvoljne stvari.