HOME
Lv010

「Lv010」の記事一覧

不正なプロセスが `/bin/bash` を `/tmp/bash` にコピーして実行しようとした場合、これを防ぐためにPodのSecurityContextで設定すべき項目はどれか。

ルートFS読取専用を有効化

2026年1月24日

マルチステージビルドを使用して、ビルド環境（Golangなど）と実行環境（Alpineなど）を分ける主なセキュリティ上のメリットはどれか。

コンパイラやビルドツールが本番イメージに含まれない

2026年1月24日

Kubernetes APIサーバーの `–audit-log-maxsize` フラグのデフォルト単位は何か。

--audit-log-maxsizeフラグはメガバイト MB

2026年1月24日

コンテナ内からホストのカーネルモジュールをロード（insmod）できないようにするために、削除すべきLinux Capabilityはどれか。

カーネルモジュール操作の権限

2026年1月24日

特定のPodが、メタデータサービスなどの機密エンドポイントにアクセスできないように、NetworkPolicyの `egress` ルールで許可する通信先をDNS名ではなくIPブロックで制限する場合の記述はどれか。

egressはipBlock

2026年1月24日

RBACにおいて、ユーザーが自身の所属するグループを確認するために、kubectlコマンドで偽装（Impersonation）を行うフラグはどれか。

--asで該当設定を行う

2026年1月24日

Falcoがシステムコールイベントを収集するためにカーネルにロードするコンポーネントはどれか（最新のeBPFプローブを除く従来の方法）。

Falcoはkmodでsyscallイベントを収集

2026年1月24日

AppArmorプロファイル内で、特定のパス `/data/db` への書き込みと読み込みの両方を許可するフラグはどれか。

/data/dbフラグはrw

2026年1月24日

コンテナイメージのレイヤー履歴を確認し、削除されたファイルや秘密情報の痕跡がないか調査するコマンドはどれか。

2026年1月24日

etcdのバックアップを取得する際、証明書認証が必要な環境で使用する `etcdctl` コマンドのフラグの組み合わせとして正しいものはどれか。

--cacert, --cert, --keyで該当設定を行う

2026年1月24日