基本了解:
Falco 是一个 Linux 安全工具,它使用系统调用来保护和监控系统。
Falco最初由Sysdig开发,后来加入CNCF孵化器,成为首个加入CNCF的运行时安全项目。
Falco提供了一组默认规则,可以监控内核态的异常行为,例如:
对于系统目录/etc, /usr/bin, /usr/sbin的读写行为。
文件所有权、访问权限的变更。
从容器打开shell会话。
容器生成新进程。
特权容器启动。
工作流程:
将falco注册成系统模块采集系统调用。
规则引擎根据判断收集的系统调用是否违反了规则,通知给用户处理。
支持k8s发送的审计日志
下载地址:https://falco.org/zh-cn/docs/install-operate/download/
信任falcosecurityGPG 密钥 rpm --import https://falco.org/repo/falcosecurity-packages.asc 配置 yum 存储库 curl -s -o /etc/yum.repos.d/falcosecurity.repo https://falco.org/repo/falcosecurity-rpm.repo 更新包列表 yum update -y 安装构建内核模块和 eBPF 探针所需的一些依赖项 # If necessary install it using: `yum install epel-release` (or `amazon-linux-extras install epel` in case of amzn2), then `yum install make dkms`. yum install -y dkms make # If the package was not found by the below command, you might need to run `yum distro-sync` in order to fix it. Rebooting the system may be required. yum install -y kernel-devel-$(uname -r) # If you use falcoctl driver loader to build the eBPF probe locally you need also clang toolchain yum install -y clang llvm # You can install also the dialog package if you want it yum install -y dialog 注意:如果您想使用现代 eBPF 探针,则不需要安装这些 deps 安装 Falco 软件包 yum install -y falco 卸载法尔科: yum erase -y falco
【推荐】国内首个AI IDE,深度理解中文开发场景,立即下载体验Trae
【推荐】编程新体验,更懂你的AI,立即体验豆包MarsCode编程助手
【推荐】抖音旗下AI助手豆包,你的智能百科全书,全免费不限次数
【推荐】轻量又高性能的 SSH 工具 IShell:AI 加持,快人一步
· 无需6万激活码!GitHub神秘组织3小时极速复刻Manus,手把手教你使用OpenManus搭建本
· C#/.NET/.NET Core优秀项目和框架2025年2月简报
· Manus爆火,是硬核还是营销?
· 终于写完轮子一部分:tcp代理 了,记录一下
· 【杭电多校比赛记录】2025“钉耙编程”中国大学生算法设计春季联赛(1)