반응형
1. 개념
- Falco는 Cloud Native Runtime Security 오픈소스로서 CNCF 재단에 속해있음
- 리눅스 커널 호출을 트레이싱해 의도하지 않거나 비정상적인 행위를 탐지하고 차단 가능
- 공식 사이트
2. 설치 방법
curl -s https://falco.org/repo/falcosecurity-packages.asc | apt-key add -
echo "deb https://download.falco.org/packages/deb stable main" | tee -a /etc/apt/sources.list.d/falcosecurity.list
apt-get update -y
apt-get install -y linux-headers-$(uname -r)
apt-get install -y falco=[falco_version]
service falco start3. 참고 사항
- 설정 파일 : /etc/falco/falco.yaml
- 기본 규칙 : falco_rules.yaml
- 커스텀 규칙 : falco_rules.local.yaml
- 로그 확인 : cat /var/log/syslog | grep falco 또는 journalctl -fu falco
- falco output 필드
4. falco rule custom 실습
- 1. /etc/falco/falco.yaml 파일에서 토대가 되는 룰 확인 및 복사
- 2. falco_rules.local.yaml 파일에 붙여넣기 및 output 수정
- 3. custom 결과 확인
5. 참고
반응형
'Kubernetes' 카테고리의 다른 글
| Kubernetes Audit Logs 설정 (0) | 2024.03.15 |
|---|---|
| Kubernetes 컨테이너 불변성(Immutability of Containers) 개념 (0) | 2024.03.14 |
| Kubernetes private docker registry 접근 (0) | 2024.03.09 |
| Kubernetes 안전한 Dockerfiles 작성 (0) | 2024.03.09 |
| Kubernetes OPA 개념 (0) | 2024.03.08 |
