東洋大学 / 情報連携学部情報連携学科
kubernetes cluster 上の脆弱なPodの研究
使用技術: k8s, kind, docker, virtual box, 内容・役割:本来は研究室配属は四年からだが、所属させてもらい研究を行った。ホストのファイルシステムをマウントしていて、root権限のあるコンテナがk8sクラスタ上に展開されていると、chrootコマンドを使ってホストのシェルに侵入できる脆弱性を研究した。脆弱性検知をするスクリプトを返すサーバーをクラスター内に建て、Podが作成されたときにそのスクリプトをリクエストして結果を返すというシステムを考え、途中まで実装してみた。しかし、OPA,コンテナスキャンなどすでにソリューションが提供されていることを知り頓挫。linuxカーネルや、コンテナセキュリティの知識が足りていないと思い、そちらの勉強にシフトした。