Cloud-Security on u-random

Cap 05 - Securing Hosts and Data

Fri, 29 May 2026 00:00:00 +0000

Sette superfici di attacco in un capitolo: virtualizzazione (VM Escape, VM Sprawl, container), hardening endpoint (TPM, HSM, UEFI Secure Boot, patch, baseline), protezione dati (at rest/transit/in use, DLP, FDE, database encryption), cloud (SaaS/PaaS/IaaS shared responsibility, CASB, SWG, IaC, SDN, edge/fog), mobile (BYOD/COPE/CYOD, MDM, jailbreak, sideloading), IoT e sistemi embedded (SoC, RTOS, vincoli), ICS/SCADA (CIA invertita, air-gap, Stuxnet). Cap 5 Gibson SY0-701.

docker volume

Mon, 27 Apr 2026 00:00:00 +0000

Comandi per gestire volumi Docker: ispezione, creazione, rimozione, migrazione dati tra volumi.

Docker Network

Sat, 18 Apr 2026 00:00:00 +0000

Docker crea reti virtuali isolate tra container. I container sulla stessa rete si vedono per nome (DNS interno). Quelli su reti diverse non si parlano - isolamento per design.

I Confini della Visibilità: Pubblico vs Privato

Wed, 15 Apr 2026 00:00:00 +0000

Analisi dei tre pilastri (Document Root, Permessi, Configurazione) che determinano cosa e' esposto sul web e come i container aggiungono un ulteriore strato di isolamento.

Docker - UID, permessi e volumi bind mount

Mon, 13 Apr 2026 00:00:00 +0000

Il problema fondamentale dei bind mount Docker: l'UID dell'utente host e l'UID dell'utente container non coincidono, causando errori di permesso sui file montati. Soluzione: entrypoint dinamico che crea l'utente con il UID corretto a runtime.

Docker Volumes

Wed, 08 Apr 2026 00:00:00 +0000

Meccanismo di persistenza dei dati in Docker. I volumi sopravvivono al ciclo di vita dei container e possono essere condivisi tra piu container.

/var/run/docker.sock - il socket di Docker

Sat, 28 Mar 2026 00:00:00 +0000

docker.sock e' il Unix domain socket che permette al Docker CLI di comunicare con dockerd. Montarlo dentro un container equivale a dare al container il controllo completo di Docker - e quindi dell'host.

chmod +s - il bit che dimentichi e l'attaccante trova

Mon, 23 Mar 2026 00:00:00 +0000

TL;DR

SUID forza l'EUID al proprietario del file al momento dell'esecuzione - se il proprietario è root, ogni utente che lo esegue ottiene EUID=0
Un interprete con SUID root (python3, perl, bash) è escalation immediata: nessuna vulnerabilità da sfruttare, nessun exploit da compilare
find / -perm -4000 -type f 2>/dev/null in 30 secondi elenca tutto quello che conta
Detection: baseline snapshot dei SUID in CI/CD + auditd rule su execve con euid=0 e auid!=unset

▶ $ history

find -perm -4000 -type f 2>/dev/null
stat /usr/bin/python3
id
cat /proc/self/status
python3 -c "import os; os.execl('/bin/sh', 'sh', '-p')"
auditctl -l
ausearch -m execve -k suid_exec
ls -la /usr/bin/python3

Sono le 02:41. Il SIEM ha alzato un flag su prod-api-03: processo root con parent python3, nessun deploy in corso, nessuna maintenance window schedulata. Il processo è già terminato quando apro il ticket. Non c'è output, non c'è file scritto. Solo un'esecuzione anomala durata undici secondi.

docker