来自 防护 2021-11-05 14:05 的文章

ddos防护_ddos清洗服务_免费测试

ddos防护_ddos清洗服务_免费测试

本月早些时候,Talos发布的研究显示,AlpineLinuxDocker映像没有根密码(或者没有根密码)。Alpine修补了docker文件,无线路由器ddos防御,并在此处发布了对该漏洞的响应,指出"通过不相关的安全漏洞危害您的系统的攻击者或具有外壳访问权限的用户可以将其权限提升到容器中的根用户。"我最近为Container Journal写了一篇关于DevSecOps和容器安全的交叉点的文章。由于最近我对这个话题很感兴趣,Talos的研究让我想知道容器中空密码的问题有多普遍。我花了一些时间构建了这个脚本来检查docker store中的前1000个docker容器。总的来说,在5月18日星期六,当我运行脚本时,201个最流行的容器(下面的更正)将根密码置空。其中一些最著名的名字是govuk/governmentpaas、hashicorp、微软、孟山都和mesophere。Kynana在1000000/1000000容器中最受欢迎。研究结果很有趣,但我不想过分危言耸听。容器没有根密码并不意味着它会自动受到攻击。在某些情况下,阿里巴巴如何防御ddos,这些发现可能会导致基于配置的漏洞,比如alpinlinux漏洞。(Alpine Linux在其回复中指出,在补丁发布之前,只有在安装了shadow和Linux pam包的情况下,容器才易受攻击。)或者,ddos防御共享dns,正如Cisco的研究人员所说:"利用此漏洞的可能性取决于环境,因为成功利用此漏洞需要公开的服务或应用程序使用Linux PAM[可插拔身份验证模块],或其他将系统卷影文件用作身份验证数据库的机制。"但我想强调一下这一发现对开发人员如何使用容器有何启示。应不惜一切代价避免部署允许用户以root身份进行身份验证的容器,因为作为root身份进行身份验证已经超出了安全容器的"最佳实践"范围,或者通常在系统中。所有这些都是说,阿里云如何防御ddos,许多人认为容器提供了更多的安全性,因为它们扩展了虚拟化的趋势。我想说这可能是真的,但正如我在《容器杂志》上的文章所显示的那样,容器也有可能导致意外的安全问题。*更正:由于在我的原始脚本中收到DockerAPI的重复容器,而我在周六运行脚本时忽略了这一点,免费cc防御,我最终只检查了794个容器,其中157个容器具有空根密码,或者仍然大约为20%(19.75%)。我修改了脚本,将1000个容器放入其中,其中194个(19.4%)的密码为空。你可以在这里看到这个列表。