toto

Signed-off-by: Louis Labeyrie <labeyrielouis@gmail.com>
2026-04-27 16:21:21 +02:00
parent 1e24ec3243
commit 1580a13fb6
10 changed files with 760 additions and 40 deletions
--- a/partie-01-installation/04-install-cilium.sh
+++ b/partie-01-installation/04-install-cilium.sh
@@ -61,6 +61,7 @@ helm upgrade --install cilium cilium/cilium \
    --set hubble.enabled=true \
    --set hubble.relay.enabled=true \
    --set hubble.ui.enabled=true \
+    --set hubble.metrics.enabled="{dns,drop,tcp,flow,icmp,httpV2:exemplars=true;labelsContext=source_ip\,source_namespace\,source_workload\,destination_ip\,destination_namespace\,destination_workload\,traffic_direction}" \
    --set policyEnforcementMode=default \
    --set nodeinit.enabled=true \
    --set ipam.mode=kubernetes \
@@ -87,13 +88,17 @@ helm upgrade --install tetragon cilium/tetragon \
 echo ""
 echo "Application des TracingPolicies de base..."

-# Surveiller toutes les exécutions de processus (détecte les shells lancés dans des containers,
-# les outils de reconnaissance, les tentatives d'escalade)
+# Surveiller UNIQUEMENT les exécutions de shells et d'outils suspects.
+# POURQUOI: tracer TOUS les execve cluster-wide génère plusieurs Mo/seconde de logs
+#           (kubelet, scheduler, controller-manager, etc.). On filtre sur les binaires
+#           qui sont les premiers utilisés par un attaquant après un foothold:
+#           shells (reconnaissance), outils réseau (exfiltration), tools d'évasion.
+#           Le filtrage `Postfix` matche aussi /bin/sh, /usr/bin/bash, etc.
 kubectl apply -f - <<'EOF'
 apiVersion: cilium.io/v1alpha1
 kind: TracingPolicy
 metadata:
-  name: monitor-process-exec
+  name: monitor-suspicious-exec
 spec:
  kprobes:
  - call: "sys_execve"
@@ -103,6 +108,26 @@ spec:
      type: "string"
    - index: 1
      type: "string_array"
+    selectors:
+    - matchArgs:
+      - index: 0
+        operator: "Postfix"
+        values:
+        - "/sh"
+        - "/bash"
+        - "/dash"
+        - "/zsh"
+        - "/ash"
+        - "/nc"
+        - "/ncat"
+        - "/curl"
+        - "/wget"
+        - "/nmap"
+        - "/tcpdump"
+        - "/nsenter"
+        - "/unshare"
+        - "/capsh"
+        - "/socat"
 EOF

 # Surveiller les accès aux fichiers sensibles du cluster et de l'hôte