Студент ФКН ВГУ Лев Хакимов сделал доклад на крупнейшей профессиональной конференция для разработчиков высоконагруженных систем HighLoad++. Это крупнейшая профессиональная конференция для разработчиков высоконагруженных систем. Мероприятие направлено на обмен знаниями о технологиях, позволяющих одновременно обслуживать многие тысячи и миллионы пользователей.
Программа охватывает такие аспекты веб-разработок, как архитектуры крупных проектов, базы данных и системы хранения, devops и системное администрирование, нагрузочное тестирование, эксплуатация крупных проектов и другие направления, связанные с большими и высоконагруженными IT-системами.
Доклад Льва Хакимова был посвящён практическому разбору уязвимостей, существующих в системе оркестрации Kubernetes и побегу из изолированного безопасного контейнерного окружения на серверы, а также основным механизмам безопасности, которые уже существуют в K8s, но про которые мало что знают.
В докладе были разобраны следующие темы:
- Reverse-shell, или как заставить сервер подключиться к вашему ПК и предоставить вам оболочку;
- Docker Escape на практике: опасность привилегированных контейнеров и практическая демонстрация побега при помощи добавления самописного модуля в ядро;
- RBAC, права в K8s и к чему приводит выдача слишком широких полномочий Pod'ам;
- практический захват кластера из Pod'а и запуск криптомайнеров;
- основные ошибки при написании манифестов для сервисов.
