主机安全服务(新版)HSS-配置策略:镜像异常行为

时间:2024-03-25 20:31:52

镜像异常行为

  1. 单击“镜像异常行为”,滑出“镜像异常行为”策略详情界面。
  2. 在弹出的镜像异常行为界面中,修改“策略内容”,参数说明如表21所示。

    表21 镜像异常行为策略参数说明

    参数名称

    参数说明

    取值样例

    规则名称

    不同规则的名称。

    -

    规则描述

    不同规则的简要描述。

    -

    规则模板

    • 选择不同的规则进行配置,支持的规则项如下:
      • 镜像白名单
      • 镜像黑名单
      • 镜像标签白名单
      • 镜像标签黑名单
      • 创建容器白名单
      • 创建容器黑名单
      • 容器mount proc白名单
      • 容器seccomp unconfined
      • 容器特权白名单
      • 容器capabilities白名单
    • 规则填写参数说明如下:
      • 精准匹配:通过目标镜像名称来检测,填写目标镜像名称匹配镜像,多个名称以英文分号隔开,最多填写20个。
      • 正则匹配:通过正则来检测,填写正则表达式匹配镜像,多个表达式以英文分号隔开,最多填写20个。
      • 前缀匹配:通过前缀名称来检测,填写前缀名称匹配镜像,多个前缀以英文分号隔开,最多填写20个。
      • 标签名称:通过标签及标签值来筛选检测,最多可添加20个标签项。
      • 权限类型:通过选择权限进行指定检测或忽略检测,权限说明详情请参见表22

    -

    表22 镜像异常行为权限说明

    权限名称

    权限说明

    AUDIT_WRITE

    将记录写入内核审计日志的。

    CHOWN

    对文件UID和GID进行任意更改的。

    DAC_OVERRIDE

    绕过文件读、写和执行权限检查。

    FOWNER

    绕过权限检查通常要求进程的文件系统UID与文件UID匹配的操作。

    FSETID

    修改文件时不清除set-user-ID和set-group-ID权限位。

    KILL

    放通发送信号的权限检查。

    MKNOD

    使用mknod创建特殊文件。

    NET_BIND_SERVICE

    将socket绑定到internet域特权端口(端口号小于1024)。

    NET_RAW

    使用原始socket和数据包socket。

    SETFCAP

    设置文件功能。

    SETGID

    对进程GID和补充GID列表进行任意操作。

    SETPCAP

    修改进程能力。

    SETUID

    对进程UID进行任意操作。

    SYS_CHROOT

    使用chroot,更改根目录。

    AUDIT_CONTROL

    启用和禁用内核审计;更改审计筛选规则;检索审计状态和筛选规则。

    AUDIT_READ

    允许通过组播网络链接套接字读取审计日志。

    BLOCK_SUSPEND

    允许防止系统挂起。

    BPF

    允许创建BPF映射、加载BPF类型格式(BTF)数据、检索BPF程序的JITed代码等。

    CHECKPOINT_RESTORE

    允许检查点/恢复相关操作。

    DAC_READ_SEARCH

    绕过文件读取权限检查和目录读取和执行权限检查。

    IPC_LOCK

    锁定内存(mlock、mlockall、mmap、shmctl)。

    IPC_OWNER

    绕过对System V IPC对象的操作的权限检查。

    LEASE

    在任意文件上建立租赁。

    LINUX_IMMUTABLE

    设置FS_APPEND_FL和FS_IMMUTABLE_FL i节点标志。

    MAC_ADMIN

    允许MAC配置或状态更改。

    MAC_OVERRIDE

    覆盖强制访问控制(MAC)。

    NET_ADMIN

    执行各种与网络相关的操作。

    NET_BROADCAST

    进行socket广播,并侦听组播。

    PERFMON

    允许使用perf_events、i915_perf和其他内核子系统进行系统性能和可观察性特权操作。

    SYS_ADMIN

    执行一系列系统管理操作。

    SYS_BOOT

    使用重新启动和kexec_load,重新启动并加载新内核以便以后执行。

    SYS_MODULE

    加载和卸载内核模块。

    SYS_NICE

    提升进程良好值(良好,设置优先级),并更改任意进程的良好值。

    SYS_PACCT

    使用账户,打开或关闭进程记账。

    SYS_PTRACE

    使用ptrace跟踪任意进程。

    SYS_RAWIO

    执行I/O端口操作(ipl和ioperm)。

    SYS_RESOURCE

    覆盖资源限制。

    SYS_TIME

    设置系统时钟(settimeofday、stime、adjtimex);设置实时(硬件)时钟。

    SYS_TTY_CONFIG

    使用vhangup;在虚拟终端上使用各种特权ioctl操作。

    SYS LOG

    执行特权系统日志操作。

    WAKE_ALARM

    触发将唤醒系统的东西。

  3. 确认无误,单击“确认”,完成修改。

    如果企业项目选择的“所有项目”,且修改的默认策略组的策略,您可以单击“保存并应用到其他项目”,将当前策略内容的修改应用到其他同版本策略下。

support.huaweicloud.com/usermanual-hss2.0/hss_01_0044.html