主机安全服务(新版)HSS-配置策略:镜像异常行为
镜像异常行为
- 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
- 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表21所示。
表21 镜像异常行为策略参数说明 参数名称
参数说明
取值样例
规则名称
不同规则的名称。
-
规则描述
不同规则的简要描述。
-
规则模板
- 选择不同的规则进行配置,支持的规则项如下:
- 镜像白名单
- 镜像黑名单
- 镜像标签白名单
- 镜像标签黑名单
- 创建容器白名单
- 创建容器黑名单
- 容器mount proc白名单
- 容器seccomp unconfined
- 容器特权白名单
- 容器capabilities白名单
- 规则填写参数说明如下:
- 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
- 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
- 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
- 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
- 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表22。
-
表22 镜像异常行为权限说明 权限名称
权限说明
AUDIT_WRITE
将记录写入内核审计日志的。
CHOWN
对文件UID和GID进行任意更改的。
DAC_OVERRIDE
绕过文件读、写和执行权限检查。
FOWNER
绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。
FSETID
修改文件时不清除set-user-ID和set-group-ID权限位。
KILL
放通发送信号的权限检查。
MKNOD
使用mknod创建特殊文件。
NET_BIND_SERVICE
将socket绑定到internet域特权端口(端口号小于1024)。
NET_RAW
使用原始socket和数据包socket。
SETFCAP
设置文件功能。
SETGID
对进程GID和补充GID列表进行任意操作。
SETPCAP
修改进程能力。
SETUID
对进程UID进行任意操作。
SYS_CHROOT
使用chroot,更改根目录。
AUDIT_CONTROL
启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。
AUDIT_READ
允许通过组播网络链接套接字读取审计日志。
BLOCK_SUSPEND
允许防止系统挂起。
BPF
允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。
CHECKPOINT_RESTORE
允许检查点/恢复相关操作。
DAC_READ_SEARCH
绕过文件读取权限检查和目录读取和执行权限检查。
IPC_LOCK
锁定内存(mlock、mlockall、mmap、shmctl)。
IPC_OWNER
绕过对System V IPC对象的操作的权限检查。
LEASE
在任意文件上建立租赁。
LINUX_IMMUTABLE
设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。
MAC_ADMIN
允许MAC配置或状态更改。
MAC_OVERRIDE
覆盖强制访问控制(MAC)。
NET_ADMIN
执行各种与网络相关的操作。
NET_BROADCAST
进行socket广播,并侦听组播。
PERFMON
允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。
SYS_ADMIN
执行一系列系统管理操作。
SYS_BOOT
使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。
SYS_MODULE
加载和卸载内核模块。
SYS_NICE
提升进程良好值(良好,设置优先级),并更改任意进程的良好值。
SYS_PACCT
使用账户,打开或关闭进程记账。
SYS_PTRACE
使用ptrace跟踪任意进程。
SYS_RAWIO
执行I/O端口操作(ipl和ioperm)。
SYS_RESOURCE
覆盖资源限制。
SYS_TIME
设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。
SYS_TTY_CONFIG
使用vhangup;在虚拟终端上使用各种特权ioctl操作。
SYS LOG
执行特权系统日志操作。
WAKE_ALARM
触发将唤醒系统的东西。
- 选择不同的规则进行配置,支持的规则项如下:
- 确认无误,单击“确认”,完成修改。
如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。