tech article

今日覚えて帰ること ImagePolicyWebhook Admission controller プラグインの一つ Admission controller プラグインの MutatingAdmissionWebhook/Validati...

今日覚えて帰ること Falco falco_rules.yaml を編集して falco の検知ルールを変更する。initプロセスが... ystemd の場合は systemctl restart falcoSysVinit の場合は s...

今日覚えて帰ること PID名前空間 一群のプロセスが他の名前空間のPIDとは別に独自の一意のPIDセットを持つことができる名前空間のこと。各コンテナは通常独自のPID名前空間を持つ。 コンテナを立ち上げる際、--pid=<resistory...

今日覚えて帰ること USER <username> コマンドを実行するユーザーを指定したいときは、DockerfileでUSER <username>と設定する。 Container Image Footprint User Run the...

今日覚えて帰ること Container Hardeningとは コンテナのセキュリティを強化すること。具体的な方法は多種多様であるが、例えば以下のような対策が当てはまる。 コンテナ内にシークレットを残さない root権限を与えない 不要なバ...

今日覚えて帰ること kube-benchコマンド kube-bench run 対象となるコンポーネントをスキャンするコマンド。サブコマンドは多分これだけ覚えておけばOK。後はいくつかオプションを覚える。 kube-bench run --...

今日覚えて帰ること CSRリソース CertificateSigningRequest リソース タイプを使用すると、クライアント（ユーザーや各リソース）は署名要求に基づいて X.509 証明書の発行を要求することができる。 Certifi...

今日覚えて帰ること CSRってなに？ 認証局（CA）に証明書を作ってもらうためのファイル 「公開鍵」「識別情報」「署名」で構成される 署名部分を除いたCSRの内容をハッシュ化し、それを秘密鍵で暗号化したものが「署名」 Certificate...

今日覚えて帰ること 監査ログの設定方法 監査ポリシー用のファイルを作成する kube-apiserverフラグを更新する ボリュームをマウントする Auditing Enable Audit Logging Enable Audit Log...

今日覚えて帰ること AppArmorの概要 実行ファイルごとに詳細なアクセス制御を設定するためことを目的とした、Linuxカーネルのセキュリティモジュールのこと aa-statusでプロファイルのステータスが確認できる apparmor_p...