이번에는 Falco입니다.

최근에 k8s-goat관련을 안써서 한번 간단하게만 써볼 예정이고요,
falco는 예전에 잠깐 다룬적 있으니 설명은 생략하겠습니다.
eBPF 기반 런타임보안툴입니다.
일단 설치는 명령어로 간단하게 가능한데, 이전에 falco 설치할땐 엄청 복잡했던 것 같은데, 3줄이면 설치되네요

저번엔 이렇게 했었는데, 이전에 했던 방식은 리눅스 서버/CM 자체에 Falco를 패키지로 설치하는 방식이어서 복잡했고, Helm을 통해서 설치하면 간단하게 설치 가능합니다.
Helm은 k8s용 패키지 매니저입니다.
Helm을 통해 설치하면 각 노드에 Falco Pod이 떠서 컨테이너/Pod 이벤트를 감시합니다.

설치를 하고 나면 Helm이 Falco를 설치할 때 k8s node마다 Falco Pod이 1개씩 나오게됩니다.

잘 동작하는지 확인하려면 로그를 -f 로 띄우면 됩니다.

명령어가 kubectl logs -l app.kuberenetes.io인게 의아했는데, k8s가 탐지 로그를 stdout으로 출력 (화면에)
그걸 kubelet이 로그 파일로 관리하고, 그걸 조회하는 개념입니다.
이걸 sidekick을 통해 외부로 전송하면 외부에서 관리 가능합니다
이후에 쉘을 하나 더 킨 뒤, pod을 생성 -> cat /etc/shadow(민감 정보 읽기)를 해보겠습니다.


로그를 읽어보면 Warning Sensitive file ~~로 잘 뜹니다.
/etc/shadow를 읽으려고 한것도 확인 가능합니다.
일단 여기까지 해서 포스팅을 마치겠습니다
읽어주셔서 감사합니다
'취약점분석 (Blue Team) > Cloud' 카테고리의 다른 글
| [k8s-goat] 17. Secure Network Boundaries using NSP (0) | 2026.07.06 |
|---|---|
| [k8s-goat] 14. Hidden in layers (0) | 2026.06.27 |
| [k8s-goat] 13. Hacker container preview (0) | 2026.06.27 |
| [k8s-goat] 12. DoS the Memory/CPU resources (0) | 2026.06.27 |
| [k8s-goat] 11. Gaining environment information (0) | 2026.06.27 |