問題タブ [falco]

リモートホスト内で Ansible によって実行されたコマンドを識別する方法について誰かが考えているかどうか知りたいです。

より多くのコンテキストを提供するために、ワークフローを詳細に説明します。

• 午前 1 時から午前 6 時の間にスケジュールされたジョブがあり、コンプライアンス Ansible Playbook を実行して、本番サーバーの構成が最新で適切に構成されていることを確認しますが、この Playbook は/etcフォルダー内のいくつかのファイルを変更します。

• これに加えて、本番サーバーで何が起こっているかを監視し、疑わしいと説明するイベントが見つかったときにアラートを生成する Falco スタックを持っています (システムコール/ネットワーク接続/機密ファイル編集 "/etc/ passwd、pam.conf、...」など...

したがって、私が実行している問題は、私のプレイブックが次のようなアラートをトリガーすることです。

私の質問は、すべての Ansible コマンドに「フラグまたはプレフィックス」を設定できますか?

PS:python3ユーザーのホワイトリスト登録rootは、私の意見では解決策ではありません。

デーモンセット パスの読み書きセットについてお聞きしたいのですが、ボリューム マウント /docker または /container、/lib/modules、/etc/falco が読み取り専用ではなく読み取り/書き込みに設定されているのはなぜですか。読み取り専用ではなく読み取り書き込みを使用する理由を説明できる人は誰でも、 /crio を使用しているため、openshift 4.Xにfalcoを配置することは可能ですか? また、パス上のセットを読み取り専用に変更することは可能ですか?