Dachore # Dachore 동작 구조 (생각) Server : AWS EC2 (1년) Client ( linux 기반) -> Request (Server IP/imageName) -> Server (imageName 받아서 py 실행) -> Response 19.06.08: Now) 1. Client (linux) 에서 간단한 requestTest.py ( server/DachoreApp/) 실행 2. Server에서 imageName 받아와서 Image_add,packageList, delete 하는 py 파일 실행 (simple) 즉, 요청/응답 가능 다음단계, 3. image정보 (ex, package list, pip list 등) 으로 DB에 질의 (ex, for packageName ==..
Anchore 란? : 컨테이너 환경에서 사용될 이미지를 분석해 주는 툴 패키지 존재 여부 검색, 파일이나 패키지 상태의 변경사항 검사 가능 이미지들의 보안 취약성(CVE)를 스캔해주고 분석 가능 #Anchore 의 Feeds 과정 #피드(Feed) 설정 : 기본 앵커 설정 파일 (config.yaml)에서 피드 설정은 주석 처리되고 앵커 엔진은 기본 설정을 사용한다. Anchore Engine은 https://ancho.re/v1/services/feeds 에서 호스팅되는 Anchore의 피드 서비스에서 피드 데이터를 기본적으로 다운로드한다. (서비스에는 인증이 필요하며 시스템에는 익명 사용자에 대한 기본 자격 증명이 포함되어야 함) Anchore Engine은 기본적으로 CVE 정보와 같은 취약점 데..
Docker Gain Privileges 관련 CVE 1. CVE-2016-3697 libcontainer/user/user.go in runC before 0.1.0, as used in Docker before 1.11.2, improperly treats a numeric UID as a potential username, which allows local users to gain privileges via a numeric username in the password file in a container. -> 0.1.0 이전 runC or 1.11.2 이전 버전 도커에서 사용된 libcontainer/user/user.go는 numeric UID를 잠재적인 사용자 이름으로 부적절하게 처리하여 로컬..
Docker Gain Privileges 관련 CVE 1. CVE-2015-3627 : Libcontainer and Docker Engine before 1.6.1 opens the file-descriptor passed to the pid-1 process before performing the chroot, which allows local users to gain privileges via a symlink attack in an image. -> 1.6.1 이전의 Libcontainer와 Docker Engine은 chroot를 수행하기 전에 pid-1 프로세스에 전달 된 파일 디스크립트를 열어 로컬 사용자가 이미지의 심볼릭 링크 공격을 통해 권한을 얻을 수 있다. 출처 : https://ww..
Docker Gain Privileges 관련 CVE 1. CVE-2014-3499 : Docker 1.0.0 uses world-readable and world-writable permissions on the management socket, which allows local users to gain privileges via unspecified vectors. -> Docker 1.0.0 버전은 관리소켓에서 world-readable , world-writable 권한을 사용함으로, 로컬 사용자가 지정되지 않은 백터를 통해 권한을 얻을 수 있다. + world-writable 파일 : 모든 사용자에게 쓰기가 허락된 파일을 의미한다. #CVE ID : CVE-2014-3499 / CWE ID : ..
"컨테이너 기반의 오픈소스 가상화 플랫폼" 도커(docker)란? -> 이미지 (image) + 컨테이너 (Container) 의 개념이 합해진 것. 컨테이너(Container)란, 일반적으로 배에 싣는 네모난 금속 상자를 얘기한다. 컨테이너 안에는 여러가지의 물건이 들어갈 수 있다. 서버에서 이야기하는 컨테이너도 이와 비슷한데 다양한 프로그램, 실행환경을 컨테이너로 추상화하고 동일한 인터페이스를 제공하여 프로그램의 배포 및 관리를 단순하게 할 수 있게 해준다. 백엔드, DB서버 등 어떤 프로그램도 컨테이너로 추상화 할 수 있고, 어디서든 실행 가능하다. 이미지(Image)란, 컨테이너 실행에 필요한 파일과 설정값등을 포함하고 있는 것으로 상태값을 가지지 않고 변하지 않는다. 컨테이너는 이미지를 실행한 ..
