Как остановить контейнер Docker и записать его state при внешнем вторжении?

Question

[humoured]

Есть контейнер Docker, в нём развёрнуто web-приложение, взаимодействующее с пользователями.
Некоторая логика приложения может прогнозировать поведение, похожее на вторжение в контур системы, и способна в последний момент запустить system().

Вопросов несолько:
— Что запустить в последний момент? Интересует дамп всех возможных важных параметров: $ last, открытые порты, запущенные приложения, последние access-log'и Nginx'а и т.п.
— Как убить собственный контейнер с вызовом методов оповещения о нештатной ситуации?

Answer 1

[mayton2019]

У тебя какое-то противоречие в задании. Сначала нам сообщается что есть "некая логика"
которая прогнозирует вторжение.

И тут-же ты спрашиваешь что пойти и куда посмотреть. Ну во первых твоя логика уже знает о триггерах безопасности.
А во вторых нужно просто логгировать сетевые события. В идеале - писать трафик. Если это веб-сервер
- то писать тело request-responce. И логи потом уже смотреть после смерти. Post-mortem.

Comments

[humoured]

Противоречий нет. Логика получила детект, логика должна что-то предпринять.

Не " тут-же ты спрашиваешь что пойти и куда посмотреть", всё уже посмотрено: факт вторжения констатирован. Нужен последний вздох:

Контейнер ХХХ умер после запроса *** породившего **** через *** stacktrace **/**/**

и т.п.

В идеале - писать трафик.

Трафик пишется на фаерволах. Но есть поведенческий детект от приложения, который должен приводить к аварийной остановке контейнера.

[mayton2019]

humoured, я не могу обсуждать с тобой твою идею в таких условиях ограниченных знаний. Я считаю что ты занимаешся фигнёй. Если приложение САМО знает когда его атакуют - оно делает syscall exit() и прекращает свою работу. Но мне дальше непонятно как ты это увязываешь с SLA, непрерностью оказания услуг и прочее. Что скажешь бизнесу? Что приложение сделало себе сепукку потому что испугалось. Мне это непонятно. Я считаю что есть два зла. Одно зло - это ничего не делать в ответ на подозрительные действия. Другое зло - это чуть что - пускать себя в ребут. Это не услоуга. Это какая-то каша-размазня получается. Какой толк от приложения если любой мамкин хакер его в ребут пускает?