Details
| Title | Определение обязательных Linux-привилегий в контейнерах с помощью статического анализа: выпускная квалификационная работа бакалавра: направление 10.03.01 «Информационная безопасность» ; образовательная программа 10.03.01_03 «Безопасность компьютерных систем» |
|---|---|
| Creators | Якименко Вадим Викторович |
| Scientific adviser | Платонов Владимир Владимирович |
| Other creators | Семенов П. О. |
| Organization | Санкт-Петербургский политехнический университет Петра Великого. Институт компьютерных наук и кибербезопасности |
| Imprint | Санкт-Петербург, 2025 |
| Collection | Выпускные квалификационные работы ; Общая коллекция |
| Subjects | привилегии ; контейнеризация ; статический анализ ; безопасность ; docker ; capabilities ; containerization ; static analysis ; security |
| Document type | Bachelor graduation qualification work |
| File type | |
| Language | Russian |
| Level of education | Bachelor |
| Speciality code (FGOS) | 10.03.01 |
| Speciality group (FGOS) | 100000 - Информационная безопасность |
| DOI | 10.18720/SPBPU/3/2025/vr/vr25-926 |
| Rights | Доступ по паролю из сети Интернет (чтение, печать, копирование) |
| Additionally | New arrival |
| Record key | ru\spstu\vkr\35750 |
| Record create date | 7/30/2025 |
Allowed Actions
–
Action 'Read' will be available if you login or access site from another network
Action 'Download' will be available if you login or access site from another network
| Group | Anonymous |
|---|---|
| Network | Internet |
Целью работы является повышение безопасности контейнеров путём формирования рекомендаций об использовании Linux-привилегий. Объектом исследования являются Linux-привилегии и средства статического анализа контейнеров. Задачи, решаемые в ходе исследования: 1. Проанализировать модель Linux-привилегий, определить модель угроз и реализовать меры противодействия им. 2. Провести сравнительный анализ средств статического анализа уязвимостей в контейнерах. 3. Разработать подход с использованием статического анализа для определения обязательных привилегий. 4. Классифицировать привилегии по уровню опасности и сформулировать рекомендации по их применению для обеспечения максимальной безопасности контейнеров. В ходе работы были исследованы существующие Linux-привилегии, методы взаимодействия с ними в контейнерной среде, а также средства статического анализа, позволяющие анализировать необходимость тех или иных привилегий. В результате работы была сформирована шкала опасности привилегий и таблица с рекомендациями по включению либо исключению каждой из них, в зависимости от выполняемого контейнером функционала. Полученные результаты могут быть использованы в качестве рекомендаций для специалистов по информационной безопасности и системных администраторов.
The purpose of the study is to improve container security by providing recommendations for the use of Linux capabilities. The object of the work includes Linux capabilities and tools for static analysis containers. The research set the following goals: 1. Analyze the Linux capability model, define a threat model and implement countermeasures. 2. Conduct a comparative analysis of static vulnerability scanning tools for containers. 3. Develop an approach using static analysis to determine mandatory capabilities. 4. Classify capabilities by risk level and formulate recommendations for their use to maximize container security. During the work existing Linux capabilities, methods of interaction within container environments, and static analysis tools that determine the necessity of specific privileges were studied. As a result of the work, a risk-based classification of privileges and a table of recommendations for enabling or disabling each capability based on container functionality were developed. The results could be used as guidelines for information security specialists and system administrators.
| Network | User group | Action |
|---|---|---|
| ILC SPbPU Local Network | All |
|
| Internet | Authorized users SPbPU |
|
| Internet | Anonymous |
|
- РЕФЕРАТ
- ABSTRACT
- Содержание
- Определения, обозначения и сокращения
- введение
- 1 ОСНОВЫ LINUX-ПРИВИЛЕГИЙ
- 1.1 Концепция Linux-привилегий
- 1.2 Виды существующих привилегий
- 1.2.1 Привилегии процессов (process capabilities)
- 1.2.2 Привилегии файлов (file capabilities)
- 1.3 Принцип наименьших привилегий и его реализация
- 1.4 Примеры неправильного назначения привилегий и их последствия
- 1.4.1 SYS_ADMIN
- 1.4.2 DAC_OVERRIDE
- 1.4.3 NET_RAW
- 1.4.4 Комбинация избыточных привилегий
- 1.5 Выводы
- 2 Безопасность и привилегии в контейнерах
- 2.1 Контейнеризация в Linux
- 2.2 Модель угроз и меры противодействия
- 2.3 Реализация обеспечения безопасности контейнеров
- 2.3.1 Использование непривилегированных пользователей внутри контейнера
- 2.3.2 Ограничение на использование привилегий
- 2.3.3 Использование опции no-new-privileges
- 2.3.4 Использование файловых систем в режиме «только чтение»
- 2.3.5 Отказ от использования сетевого интерфейса docker0
- 2.3.6 Создание конфигурационного файла для Docker
- 2.4 Выводы
- 3 Средства статического анализа
- 3.1 Подходы к статическому анализу исполняемых файлов и контейнеров
- 3.2 Классификация методов статического анализа
- 3.2.1 Анализ ELF-файлов
- 3.2.2 Дизассемблирование и реверс-инжиниринг
- 3.2.3 Анализ расширенных атрибутов и метаданных
- 3.2.4 Использование сигнатур и паттернов
- 3.3 Инструменты статического анализа
- 3.3.1 Clair
- 3.3.2 Trivy
- 3.3.3 Syft
- 3.4 Сравнительная таблица инструментов по ключевым параметрам
- 3.5 Выводы
- 4 ПРавильная работа с Linux-привилегиями
- 4.1 Шкала опасности привилегий
- 4.2 Рекомендации по использованию и применению привилегий
- 4.3 Выводы
- Заключение
- Список использованных источников
Access count: 1
Last 30 days: 1
