Upload
tim-hsu
View
472
Download
4
Embed Size (px)
Citation preview
如何用 DOCKER 快速建立高互動 HONEYPOTHONEYCON 2016
TIM HSU
徐千洋 (TIM HSU)
CHROOT 創辦人HITCON 創辦人網駭科技 創辦人曾任:台灣大哥大 資安部經理現職:VARMOUR 美商安連網路公司台灣分公司
大綱• CONTAINER/DOCKER 簡介• 使用 DOCKER 組合 DOCKERPOT +
SHOWTERM• 安全性強化• DEMO
CONTAINER
Host OS
Container Engine
APP
LIBC
APP
LIBC
APP
LIBC
• 執行程序可以有獨立的資源• 共用同一作業系統核心 (Kernel) ,速度快• 每一 CONTAINER 可視為共用核心的
VM
DOCKERPOThttps://github.com/mrschyte/dockerpot
DOCKERPOT 特色
• 動態啟動 CONTAINER• 每一個來源 IP 對映一個 CONTAINER• 每隔一段時間,停止該 CONTAINER
DOCKER CONTAINER 的安全強化
USER-NAMESPACE
• CONTAINER 不再用 ROOT 權限執行• 在 CONTAINER 底下的 ROOT 帳號其實會對應對 HOST 的一般權限帳號• 從 HOST 來看,所有在 CONTAINER 下的執行程序都會是一般權限執行• 設定 DOCKER ENGINE 執行時啟動/etc/default/docker
DOCKER_OPTS=“--userns-remap=default"
UID=165536
UID=165537
dockremap:165536
/etc/subuid
UID=0
UID=1
root:0:XXXXdaemon:1:XXXX
/etc/passwd
CAPABILITIES
• 將特權帳號能做的事,切割成數十個,並給予控制• 例如 : /BIN/PING 傳統上必須為 SETUID-ROOT 權限的程式 • 如今,它只要有 CAP_NET_RAW CAPABILITY# ls -al /bin/ping-rwxr-xr-x 1 root root 44168 Mar 15 2014 # getcap /bin/ping/bin/ping = cap_net_raw+p
DEMOhttps://github.com/timhsutw/honeyterm
Q&A
感謝各位聆聽<[email protected]>