falco和tracee都是做容器环境入侵检测的,哪个更好,本周对比实践一下,
ubuntu20.04,因为ubuntu18.04下tracee安装不成功,
安装falco,首先安装helm,
下载helm最新版本的程序,
wget https://get.helm.sh/helm-v3.8.0-linux-amd64.tar.gz,
tar -zxvf helm-v3.8.0-linux-amd64.tar.gz,
sudo mv linux-amd64/helm /usr/local/bin/,
安装falco,直接启用falcosidekick做可视化,
helm repo add falcosecurity https://falcosecurity.github.io/charts,
helm repo update,helm repo list,
helm install falco falcosecurity/falco --set falcosidekick.enabled=true --set falcosidekick.webui.enabled=true --set ebpf.enabled=true,
安装成功后,做个端口转发让外网能直接访问falcosidekick的界面,
kubectl port-forward --address 0.0.0.0 pod/falco-falcosidekick-ui-99b56b559-7lm49 2802,
http://10.90.11.167:2802/ui,
下面安装tracee,下载最新版本的项目,
git clone https://github.com/aquasecurity/tracee.git,
把安装模板拷贝出来,
cp tracee/deploy/kubernetes/tracee-falcosidekick/tracee.yaml ./,
修改安装模板,把里面falcosidekick的域名改成当前falcosidekick服务的地址,10.103.163.169,
执行模板,安装tracee,kubectl apply -f tracee.yaml,
安装成功后,做几个攻击case,对falco和tracee进行对比,
基本上都是falco报的,tracee仅报了一点,尤其是外发连接的日志,tracee是在攻击case一个小时后才报出的,falco完胜,看来tracee这种仅使用ebpf系统调用做入侵检测的技术路线还不够成熟。
原文始发于微信公众号(云计算和网络安全技术实践):falco和tracee的实践
- 左青龙
- 微信扫一扫
-
- 右白虎
- 微信扫一扫
-
评论