Namespaces et seccomp BPF : un zoom sur la conteneurisation Linux

Magazine
Marque
MISC
Numéro
102
Mois de parution
mars 2019
Domaines


Résumé

À l’heure où de nombreuses applications sont délivrées sous la forme de conteneurs (notamment Docker), peu savent réellement comment ces derniers sont cloisonnés du reste du système. Peut-être encore plus rares sont ceux qui mettent en œuvre ces technologies de leur propre chef, pour réduire l’impact d’une compromission.Cet article s’attache à présenter les namespaces Linux, ainsi que seccomp BPF, puis à les employer à l’aide de systemd pour démontrer, par l’exemple, comment durcir un serveur web applicatif.


 

1. Introduction aux namespaces

Les namespaces sont une fonctionnalité de sécurité introduite dans le noyau Linux au début des années 2000. À l’origine une simple méthode permettant de présenter différentes vues du système de fichiers à des processus distincts, elle s’est enrichie au cours des années suivantes. À ce jour, il existe ainsi sept namespaces dans le noyau Linux, s’efforçant de présenter des ressources système sous des aspects différents en fonction du processus qui les emploie.

Certains namespaces ont des usages parfaitement anecdotiques, comme le namespace UTS qui permet de renvoyer un nom d’hôte (hostname) distinct à des processus. Cela peut être employé notamment par les conteneurs pour simuler l’exécution sur un hôte distinct.

D’autres namespaces sont plus utiles pour l’isolation :

  • NS, qui permet d’avoir des points de montage de systèmes de fichiers différents ; cela peut être astucieusement mis en...
Cet article est réservé aux abonnés. Il vous reste 95% à découvrir.
à partir de 21,65€ HT/mois/lecteur pour un accès 5 lecteurs à toute la plateforme
J'en profite


Articles qui pourraient vous intéresser...

Covid-19, télétravail : mise en œuvre d’accès distants sécurisés pour se rapprocher du SI

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Les mesures de confinement prises par le gouvernement mi-mars 2020 pour contrer la propagation du Covid-19 ont poussé les entreprises et administrations de toutes tailles à promouvoir le télétravail. Cet article présente le retour d’expérience d’une partie de l’équipe EDF en charge des « accès distants sécurisés » pendant cette période.

Aller plus loin avec coreboot

Magazine
Marque
GNU/Linux Magazine
HS n°
Numéro
110
Mois de parution
septembre 2020
Domaines
Résumé

Rappelez-vous dans le numéro 220 de GNU/Linux Magazine, j’avais écrit un petit article sur coreboot, le BIOS libre. Je vous propose cette fois d’aller plus loin, en explorant quelques façons de sécuriser un peu le processus de boot, et plus encore.

Surveillance des accès de production en télétravail

Magazine
Marque
MISC
Numéro
111
Mois de parution
septembre 2020
Domaines
Résumé

Il est courant de protéger l'accès aux infrastructures de production au travers de VPN ou de bastions SSH, et beaucoup d’organisations limitent encore ces points d'entrée à leur infrastructure interne. Lorsque l'organisation passe en mode télétravail à 100%, il faut forcément permettre l'accès depuis des adresses IP arbitraires, et se pose alors la question de surveiller ces accès pour détecter et bloquer rapidement une tentative d'accès malveillante.