基于Falco实现运行时入侵检测

已于 2025-04-01 19:33:28 修改
阅读量531 收藏 10
点赞数 5
CC 4.0 BY-SA版权
文章标签: falco实现入侵检测 falco安装和部署
于 2025-03-31 21:47:01 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_23936389/article/details/146896866

在容器运行的过程中,攻击者可能会入侵容器应用,进行容器逃逸等攻击行为。为了及时发现这些入侵行为,我们需要进行容器运行时的入侵检测。

在本篇文章中,我们将介绍如何安装Falco并自定义检测规则来进行容器运行时的入侵检测。

01、Falco简介

Falco 是一个开源的运行时安全检测引擎,可在主机、容器、K8s 和云环境中提供运行时安全性,实时检测异常行为和潜在安全威胁并发出警报。本文以Centos为测试环境,在宿主机上安装Falco,并在K8s中集成Falco。

02、在主机上安装Falco

(1)在cenos上,导入 Falco GPG 密钥,配置yum存储库,更新软件包列表,安装falco。

rpm --import https://falco.org/repo/falcosecurity-packages.asc
curl -s -o /etc/yum.repos.d/falcosecurity.repo https://falco.org/repo/falcosecurity-rpm.repo
yum update -y
yum install -y falco 
# 执行命令测试Falco是否安装成功,若失败,尝试执行 falcoctl driver install 下载预编译驱动

(2)使用 systemd 管理 Falco

sudo systemctl list-unit-files "falco*"
# 启用eBPF
sudo systemctl enable falco-modern-bpf.service
#启用falco-modern-bpf.service还会falco-custom.service创建一个名为 的新别名/服务,
sudo systemctl list-unit-files "falco*"
#启动服务
systemctl start falco-modern-bpf.service
systemctl status falco-modern-bpf.service

(3)配置Falco

syslog_output:     #关闭默认输出
  enable: false   
stdout_output:     #关闭默认输出  
  enable: false
file_output:      #输出到一个指定的日志文件中。  
  enable: true  
  keep_alive:false  
  filename: /var/log/falco.log

(4)触发规则,查看安全告警

more /etc/shadow     
tail -f /var/log/falco.log

03、自定义检测规则

安全场景:当容器遭受入侵,攻击者通过web漏洞尝试进行远程命令执行或是反弹shell,执行一些系统命令。

检测规则:自定义检测规则,检测父进程为apache2,子进程为bash,匹配到这条策略就会触发告警。

Falco 编写的自定义检测规则:

- rule: Apache spawns bash shell (Web Attack Alert)  
  desc: “检测 Apache 进程异常启动 Bash,可能为 Web 漏洞利用(如反弹 Shell、远程命令执行)”  
 condition: evt.type=execve and container.id!=host and proc.pname=apache2 and proc.name="bash"  
  output: High risk process behavior in container, Apache spawns bash shell (evt_type=%evt.type user=%user.name user_uid=%user.uid user_loginuid=%user.loginuid process=%proc.name proc_exepath=%proc.exepath parent=%proc.pname command=%proc.cmdline terminal=%proc.tty exe_flags=%evt.arg.flags %container.info)  
  priority: critical  
  tags: [container, shell]

04、在 K8s集群中部署 Falco

Falco 可以通过 DaemonSet 部署在 Kubernetes 集群的每个节点上,从而实时监控整个集群的系统调用。

(1)添加 Helm 仓库并更新

helm repo add falcosecurity https://falcosecurity.github.io/chartshelm repo update

(2)使用Helm安装Falco

helm install --replace falco --namespace falco --create-namespace --set tty=true falcosecurity/falco

(3)检查 Falco pod 是否正在运行

kubectl get pods -n falco
(4)创建一个pod,并触发规则
kubectl run pod1 --image=nginxkubectl exec -it pod1 -- cat /etc/shadow

(5)查看falco日志

kubectl logs -l app.kubernetes.io/name=falco -n falco -c falco | grep Warning

(6)安装 Falcosidekick 和 Falcosidekick-UI

helm upgrade --namespace falco falco falcosecurity/falco --set falcosidekick.enabled=true --set falcosidekick.webui.enabled=true

(7)查看svc,修改为NodeProt

kubectl -n falco get svc

(8)浏览器访问 Falcosidekick UI,默认用户名和密码是admin/ admin。

《云原生安全攻防》-- K8s容器安全:基于Falco实现运行入侵检测
04-26 591
利用AI工具生成可用的安全检测规则,提高效率的同,安全人员仍然需要保持对底层原理的理解,因为AI生成的规则仍然需要安全人员来测试调整,理解规则背后的系统调用逻辑。Falco是一款开源的云原生安全工具,专注于为云原生环境提供实的安全威胁检测。在本节课程中,我们将以CentOS作为测试环境,演示如何在主机上安全Falco,自定义检测规则,并在K8s中集成FalcoFalco提供了默认的检测规则,同也支持用户自定义规则,因此具备很强的扩展能力,自定义规则的编写使用,实现更精准的入侵检测安全告警。
容器运行安全:如何限制容器内的root权限
最新发布
操作系统内核探秘的博客
07-13 286
本文聚焦容器运行(如Docker引擎、containerd)的安全核心问题——容器内root权限的失控风险。容器root权限的潜在威胁限制root权限的5种核心技术手段Docker/Kubernetes环境下的实战操作常见误区与解决方案本文从“生活化场景”切入,先解释容器root权限的本质,再拆解限制权限的技术原理,最后通过实战案例演示具体操作。核心概念:用“小区管理”类比容器权限风险分析:root权限为何是“双刃剑”?技术方案:5种限制root权限的方法(附代码)
kubernetes--监控容器运行Falco
m0_57911290的博客
03-08 3740
监控容器创建的不可信任进程规则,在falco_rules.local.yaml文件添加:以nginx为例#运行新镜像,必须是容器,并且容器镜像开头是nginx 并设置白名单desc: testcondition表达式解读:• spawned_process 运行新进程• container 容器• container.image startswith nginx 以nginx开头的容器镜像• not proc.name in (nginx) 不属于nginx的进程名称(允许进程名称列表)
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 4099
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
容器运行保护:用Falco构建云原生安全防线
like21a的博客
06-19 597
Falco不是孤岛式的安全工具,而是云原生安全平台的核心组件。建议采取三步走战略:基础防护:部署默认规则集覆盖CIS Kubernetes Benchmark场景定制:针对微服务架构编写业务专属规则(如API网关异常调用)智能进化:集成机器学习实现自适应防御延伸学习官方规则仓库:Falco Rules[1]云原生安全实验室:falco-security-workshop[2]通过本文的实践指引,你已掌握容器运行安全的核心能力。现在,是候用Falco为你的云原生架构筑起最后一道防线了!
falco 使用(非常详细),零基础入门到精通,看这一篇就够了
隔壁王叔的博客
10-17 2266
falco 使用(非常详细),零基础入门到精通,看这一篇就够了
Falco安全项目简介与部署
wsq0713的博客
01-14 1728
1、什么是Falco Falco是一款由Sysdig开源的进程异常行为检测工具。它既能够检测传统主机上的应用程序,也能够检测容器环境云平台(主要是KubernetesMesos)。 它能够检测所有涉及系统调用的进程行为。例如: 某容器中启动了一个shell 某服务进程创建了一个非预期类型的子进程 /etc/shadow文件被读写 /dev目录下创建了一个非设备文件 ls之类的常规系统工具向外进行了对外网络通信 此外,其还可以检测云环境下的特有行为。例如: 创建了带有特权容器、挂载敏感路径或使用了
洞若观火 - 运行安全检测
weixin_42587823的博客
07-02 640
Falco 的强大之处在于其灵活的规则引擎。它的规则是用简单的 YAML 格式定义的。= 0condition: 定义了触发规则的逻辑条件。这里表示“当一个新进程被创建 (),且它在一个容器内 (container),且这个进程是已知的 shell 进程之一 (),并且它连接到了一个终端 (proc.tty!= 0)”,就匹配成功。你可以根据自己的业务场景,编写自定义规则来检测特定的、对你来说是异常的行为。今天,我们为我们的“云原生堡垒”部署了最警惕的“巡逻卫队”——运行安全。
基于eBPF的开源项目
eBPF_Kindling的博客
04-29 1075
引言 真正意义上的eBPF技术虽然诞生还不到十年间(2014年首次提出eBPF概念),但已经发展成为当下炙手可热的技术。去年8月,由微软、谷歌、Facebook(已更名为meta) 等公司联合成立了eBPF基金会,大力发展eBPF技术。最近几年,eBPF技术在国内也得到了广泛应用,很多大厂也开始关注并采用eBPF技术。 eBPF简介 eBPF是extended BPF的缩写,而BPF是Berkeley Packet Filter的缩写。对linux网络比较熟悉的小伙伴对BPF应该比较了解,它通过特定的语法
Ansible-Falco角色部署指南:以sysdig监控行为安全性
Falco通过检测系统调用内核事件来监测记录运行的异常行为,被广泛认为是容器环境中的安全守护神。 标题中的“ansible-falco”指的是一个利用Ansible来设置管理Falco的角色。角色(Role)是Ansible中的一个...
详解运行安全检测神器:Falco
分享web安全、AI安全、云安全、业务安全、渗透测试、安全开发、安全工具、行业动态等优质内容……
09-23 2732
在当今快速发展的云计算容器技术代,安全已成为组织面临的一大挑战。随着云原生应用的普及,传统的安全措施已不足以应对复杂的分布式环境。在这样的背景下,Falco应运而生,成为云原生安全领域的一颗新星。目前在github中,该项目已经拥有了7.3k的star,众多的企业级运行安全检测引擎也基于该工具二次开发。
k8s 中安装 falco
weixin_32196893的博客
07-14 1071
参考资料:https://falco.org/zh/docs/installation/ https://jishuin.proginn.com/p/763bfbd3012c 环境:kubernetes 17.3 docker模拟3个节点的集群 将Falco作为Kubernetes的DaemonSet运行 克隆Falco仓库并切换,清单目录 git clone https://github.com/falcosecurity/falco/ # 当前master分支,已经没有了integrations
初识容器安全项目 Falco
记录有价值的内容
03-11 2831
1. 为什么需要 Falco? 容器化普及进行的如火如荼,但是无论是公有云环境还是企业内部的容器化环境,都有可能会面对部分异常的用户行为,有些是有意为之,有些可能是无意之失,但是都可能给容器底层的主机造成安全的隐患。 容器的工作模式是共享宿主机内核,从出道以来就面临着各种安全的问题,比如 Fork 炸弹会一直耗尽主机的进程资源、容器逃逸获取到主机各种资源等都可能带来安全隐患(部分安全隐患已经得到了有效的解决,但是仍然存在众多的情况会造成安全问题)。 业内也有诸如gVisorKata Conta...
3、云原生安全之falco部署
划水的小白白
03-02 722
1、helm安装 2、安装clash-for-linux(可选)(建议安装) 3、安装faclo 4、安装nfs服务器,配置k8s的持久卷 4.1、创建nfs服务器, 4.2、部署master节点(nsf服务的客户端) 4.3、pv与pvc 4.4、假设pvpvc的配置文件出错了 5、安装falcosidekick可视化(建议跳过,直接使用6) 6、安装faclo与falcosidekick 7、创建自定义检测规则 7.1、检测定任务的查询与修改 8、一些补充 8.1、修改calico.yaml(出现报
第30关 k8s容器运行安全监控 - Falco
博哥爱运维
01-22 4281
Falco 是一款旨在检测应用中反常活动的行为监视器,由Sysdig的系统调用捕获基础设施驱动。您仅需为 Falco 撰写一套规则,即可在一处持续监测并监控容器、应用、主机及网络的异常活动。
使用Falco检测Kubernetes安全问题简介
lfcncf的博客
01-11 1445
周五截止,你填了吗? 10人将获赠CNCF商店$100美元礼券! 来参与2020年CNCF中国云原生调查 问卷链接(https://www.wjx.cn/jq/97146486.aspx) 作者:Frederick Fernando。本文于2020年12月16日首次发表在InfraCloud的博客上。 我们来谈谈Kubernetes的安全问题 随着Kubernetes的不断普及,了解如何保护它是很重要的。在Kubernetes等动态基础设施平台中,检测处理威胁很重要,但同也具有挑战性。 开源云原生运
5、云原生安全之falco的规则解读(部分)(上)
划水的小白白
03-03 725
1、自定义规则测试 1.1、自定义检测定任务的规则 2、自带规则详解部分 2.1、意外的出站连接源(类似的还有入站连接) 2.2、检测目录穿越攻击 2.3、rpm数据库被修改 2.4、数据库派生新的进程 2.5、特权容器启动 2.6、启动容器挂载到敏感路径 2.7、匹配所有在pod内启动、并连接到一个终端的shell进程 3、以下规则不在具体解析 3.1、检测suid提权 3.2、检测非授权用户尝试增删账户或者更新用户权限或密码等行为 3.3、检测从容器内联系k8s api的行为 3.4、检测集群内的容器
推荐项目:Falco - 现代Django开发的得力助手
gitblog_00096的博客
06-08 472
推荐项目:Falco - 现代Django开发的得力助手 Falco是一个专为Django开发者设计的强大的工具集,它旨在提升你的开发体验并加速项目进程。这个开源项目不仅提供了一个命令行接口(CLI),方便你快速初始化项目应用,还提供了一系列实用工具指南,帮助你解决开发中的常见问题。 1. 项目介绍 Falco的核心是它的CLI工具,它包括创建新项目、生成CRUD视图等功能,所有这些都是为了简...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

Bypass--

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值