falco和tracee的实践

falco和tracee都是做容器环境入侵检测的，哪个更好，本周对比实践一下，

ubuntu20.04，因为ubuntu18.04下tracee安装不成功，

安装falco，首先安装helm，

下载helm最新版本的程序，

wget https://get.helm.sh/helm-v3.8.0-linux-amd64.tar.gz，
tar -zxvf helm-v3.8.0-linux-amd64.tar.gz，
sudo mv linux-amd64/helm /usr/local/bin/，

安装falco，直接启用falcosidekick做可视化，

helm repo add falcosecurity https://falcosecurity.github.io/charts，
helm repo update，helm repo list，

helm install falco falcosecurity/falco --set falcosidekick.enabled=true --set falcosidekick.webui.enabled=true --set ebpf.enabled=true，

安装成功后，做个端口转发让外网能直接访问falcosidekick的界面，

kubectl port-forward --address 0.0.0.0 pod/falco-falcosidekick-ui-99b56b559-7lm49 2802，

http://10.90.11.167:2802/ui，

下面安装tracee，下载最新版本的项目，

git clone https://github.com/aquasecurity/tracee.git，

把安装模板拷贝出来，

cp tracee/deploy/kubernetes/tracee-falcosidekick/tracee.yaml ./，

修改安装模板，把里面falcosidekick的域名改成当前falcosidekick服务的地址，10.103.163.169，

执行模板，安装tracee，kubectl apply -f tracee.yaml，

安装成功后，做几个攻击case，对falco和tracee进行对比，

基本上都是falco报的，tracee仅报了一点，尤其是外发连接的日志，tracee是在攻击case一个小时后才报出的，falco完胜，看来tracee这种仅使用ebpf系统调用做入侵检测的技术路线还不够成熟。

原文始发于微信公众号（云计算和网络安全技术实践）：falco和tracee的实践