基本了解:
Falco 是一个 Linux 安全工具,它使用系统调用来保护和监控系统。
Falco最初由Sysdig开发,后来加入CNCF孵化器,成为首个加入CNCF的运行时安全项目。
Falco提供了一组默认规则,可以监控内核态的异常行为,例如:
对于系统目录/etc, /usr/bin, /usr/sbin的读写行为。
文件所有权、访问权限的变更。
从容器打开shell会话。
容器生成新进程。
特权容器启动。
工作流程:
将falco注册成系统模块采集系统调用。
规则引擎根据判断收集的系统调用是否违反了规则,通知给用户处理。
支持k8s发送的审计日志
下载地址:https://falco.org/zh-cn/docs/install-operate/download/
信任falcosecurityGPG 密钥 rpm --import https://falco.org/repo/falcosecurity-packages.asc 配置 yum 存储库 curl -s -o /etc/yum.repos.d/falcosecurity.repo https://falco.org/repo/falcosecurity-rpm.repo 更新包列表 yum update -y 安装构建内核模块和 eBPF 探针所需的一些依赖项 # If necessary install it using: `yum install epel-release` (or `amazon-linux-extras install epel` in case of amzn2), then `yum install make dkms`. yum install -y dkms make # If the package was not found by the below command, you might need to run `yum distro-sync` in order to fix it. Rebooting the system may be required. yum install -y kernel-devel-$(uname -r) # If you use falcoctl driver loader to build the eBPF probe locally you need also clang toolchain yum install -y clang llvm # You can install also the dialog package if you want it yum install -y dialog 注意:如果您想使用现代 eBPF 探针,则不需要安装这些 deps 安装 Falco 软件包 yum install -y falco 卸载法尔科: yum erase -y falco
