Детальная информация
| Название | Определение обязательных Linux-привилегий в контейнерах с помощью статического анализа: выпускная квалификационная работа бакалавра: направление 10.03.01 «Информационная безопасность» ; образовательная программа 10.03.01_03 «Безопасность компьютерных систем» |
|---|---|
| Авторы | Якименко Вадим Викторович |
| Научный руководитель | Платонов Владимир Владимирович |
| Другие авторы | Семенов П. О. |
| Организация | Санкт-Петербургский политехнический университет Петра Великого. Институт компьютерных наук и кибербезопасности |
| Выходные сведения | Санкт-Петербург, 2025 |
| Коллекция | Выпускные квалификационные работы ; Общая коллекция |
| Тематика | привилегии ; контейнеризация ; статический анализ ; безопасность ; docker ; capabilities ; containerization ; static analysis ; security |
| Тип документа | Выпускная квалификационная работа бакалавра |
| Тип файла | |
| Язык | Русский |
| Уровень высшего образования | Бакалавриат |
| Код специальности ФГОС | 10.03.01 |
| Группа специальностей ФГОС | 100000 - Информационная безопасность |
| DOI | 10.18720/SPBPU/3/2025/vr/vr25-926 |
| Права доступа | Доступ по паролю из сети Интернет (чтение, печать, копирование) |
| Дополнительно | Новинка |
| Ключ записи | ru\spstu\vkr\35750 |
| Дата создания записи | 30.07.2025 |
Разрешенные действия
–
Действие 'Прочитать' будет доступно, если вы выполните вход в систему или будете работать с сайтом на компьютере в другой сети
Действие 'Загрузить' будет доступно, если вы выполните вход в систему или будете работать с сайтом на компьютере в другой сети
| Группа | Анонимные пользователи |
|---|---|
| Сеть | Интернет |
Целью работы является повышение безопасности контейнеров путём формирования рекомендаций об использовании Linux-привилегий. Объектом исследования являются Linux-привилегии и средства статического анализа контейнеров. Задачи, решаемые в ходе исследования: 1. Проанализировать модель Linux-привилегий, определить модель угроз и реализовать меры противодействия им. 2. Провести сравнительный анализ средств статического анализа уязвимостей в контейнерах. 3. Разработать подход с использованием статического анализа для определения обязательных привилегий. 4. Классифицировать привилегии по уровню опасности и сформулировать рекомендации по их применению для обеспечения максимальной безопасности контейнеров. В ходе работы были исследованы существующие Linux-привилегии, методы взаимодействия с ними в контейнерной среде, а также средства статического анализа, позволяющие анализировать необходимость тех или иных привилегий. В результате работы была сформирована шкала опасности привилегий и таблица с рекомендациями по включению либо исключению каждой из них, в зависимости от выполняемого контейнером функционала. Полученные результаты могут быть использованы в качестве рекомендаций для специалистов по информационной безопасности и системных администраторов.
The purpose of the study is to improve container security by providing recommendations for the use of Linux capabilities. The object of the work includes Linux capabilities and tools for static analysis containers. The research set the following goals: 1. Analyze the Linux capability model, define a threat model and implement countermeasures. 2. Conduct a comparative analysis of static vulnerability scanning tools for containers. 3. Develop an approach using static analysis to determine mandatory capabilities. 4. Classify capabilities by risk level and formulate recommendations for their use to maximize container security. During the work existing Linux capabilities, methods of interaction within container environments, and static analysis tools that determine the necessity of specific privileges were studied. As a result of the work, a risk-based classification of privileges and a table of recommendations for enabling or disabling each capability based on container functionality were developed. The results could be used as guidelines for information security specialists and system administrators.
| Место доступа | Группа пользователей | Действие |
|---|---|---|
| Локальная сеть ИБК СПбПУ | Все |
|
| Интернет | Авторизованные пользователи СПбПУ |
|
| Интернет | Анонимные пользователи |
|
- РЕФЕРАТ
- ABSTRACT
- Содержание
- Определения, обозначения и сокращения
- введение
- 1 ОСНОВЫ LINUX-ПРИВИЛЕГИЙ
- 1.1 Концепция Linux-привилегий
- 1.2 Виды существующих привилегий
- 1.2.1 Привилегии процессов (process capabilities)
- 1.2.2 Привилегии файлов (file capabilities)
- 1.3 Принцип наименьших привилегий и его реализация
- 1.4 Примеры неправильного назначения привилегий и их последствия
- 1.4.1 SYS_ADMIN
- 1.4.2 DAC_OVERRIDE
- 1.4.3 NET_RAW
- 1.4.4 Комбинация избыточных привилегий
- 1.5 Выводы
- 2 Безопасность и привилегии в контейнерах
- 2.1 Контейнеризация в Linux
- 2.2 Модель угроз и меры противодействия
- 2.3 Реализация обеспечения безопасности контейнеров
- 2.3.1 Использование непривилегированных пользователей внутри контейнера
- 2.3.2 Ограничение на использование привилегий
- 2.3.3 Использование опции no-new-privileges
- 2.3.4 Использование файловых систем в режиме «только чтение»
- 2.3.5 Отказ от использования сетевого интерфейса docker0
- 2.3.6 Создание конфигурационного файла для Docker
- 2.4 Выводы
- 3 Средства статического анализа
- 3.1 Подходы к статическому анализу исполняемых файлов и контейнеров
- 3.2 Классификация методов статического анализа
- 3.2.1 Анализ ELF-файлов
- 3.2.2 Дизассемблирование и реверс-инжиниринг
- 3.2.3 Анализ расширенных атрибутов и метаданных
- 3.2.4 Использование сигнатур и паттернов
- 3.3 Инструменты статического анализа
- 3.3.1 Clair
- 3.3.2 Trivy
- 3.3.3 Syft
- 3.4 Сравнительная таблица инструментов по ключевым параметрам
- 3.5 Выводы
- 4 ПРавильная работа с Linux-привилегиями
- 4.1 Шкала опасности привилегий
- 4.2 Рекомендации по использованию и применению привилегий
- 4.3 Выводы
- Заключение
- Список использованных источников
Количество обращений: 1
За последние 30 дней: 1
