Kapitel 2. Linux-Systemaufrufe, Berechtigungen und Fähigkeiten
Diese Arbeit wurde mithilfe von KI übersetzt. Wir freuen uns über dein Feedback und deine Kommentare: translation-feedback@oreilly.com
In den meisten Fällen werden Container auf einem Computer mit einem Linux-Betriebssystem ausgeführt, und es ist hilfreich, einige der grundlegenden Funktionen von Linux zu verstehen, damit du erkennst, wie sie sich auf die Sicherheit auswirken und vor allem, wie sie für Container gelten. Ich werde auf Systemaufrufe, dateibasierte Berechtigungen und Fähigkeiten eingehen und abschließend eine Diskussion über Privilegieneskalation führen. Wenn du mit diesen Konzepten vertraut bist, kannst du gerne zum nächsten Kapitel übergehen.
Das ist wichtig, denn Container führen Linux-Prozesse aus, die vom Host aus sichtbar sind. Ein containerisierter Prozess verwendet Systemaufrufe und benötigt genauso wie ein normaler Prozess Berechtigungen und Privilegien. Aber Container geben uns einige neue Möglichkeiten, um zu kontrollieren, wie diese Berechtigungen zur Laufzeit oder während des Erstellungsprozesses des Container-Images zugewiesen werden, was einen erheblichen Einfluss auf die Sicherheit hat.
Systemaufrufe
Anwendungen laufen im so genannten Benutzerbereich, der weniger Rechte hat als der Kernel des Betriebssystems. Wenn eine Anwendung etwas tun will, wie z. B. auf eine Datei zugreifen, über ein Netzwerk kommunizieren oder die Uhrzeit abfragen, muss sie den Kernel bitten, dies im Namen der Anwendung ...
Get Container Sicherheit now with the O’Reilly learning platform.
O’Reilly members experience books, live events, courses curated by job role, and more from O’Reilly and nearly 200 top publishers.
