HOME
Lv040

「Lv040」の記事一覧

Ingressリソースで、TLS設定（`tls` セクション）を行っているにもかかわらず、HTTP（ポート80）でのアクセスが可能である場合、これを強制的にHTTPSにリダイレクトさせるための一般的なアノテーションはどれか。

IngressでHTTP→HTTPSへ強制リダイレクト

2026年1月24日

コンテナに対して `securityContext.procMount: Unmasked` を設定する必要がある正当なユースケースはどれか。

コンテナ内で入れ子のコンテナランタイムを実行したり、高度なシステム監視ツールを実行したりする場合

2026年1月24日

Falcoのルールで `evt.type` に `execve` を指定した場合、実際に検知されるのはプロセスの開始時か終了時か。

システムコールのエントリとイグジットの両方を検知できるが、通常は引数や戻り値を確認する

2026年1月24日

Kubeletの設定ファイルで `readOnlyPort: 10255` が有効になっている場合、攻撃者はこのポートを通じて何を取得できるか。

Podのリスト、スペック、ステータスなどの情報

2026年1月24日

コンテナイメージの署名に使用される `Cosign` は、署名データをどこに保存するか。

コンテナレジストリ内の、対象イメージと同じリポジトリに

2026年1月24日

Service Mesh（Istio）において、`AuthorizationPolicy` の `action: DENY` ルールを作成することのメリットはどれか。

明示的に拒否する条件を定義でき、許可リストと組み合わせてより柔軟なセキュリティポリシーを構築できる

2026年1月24日

RBAC権限の確認において、`kubectl auth can-i` コマンドが `yes` を返したとしても、実際には操作が失敗する可能性がある要因はどれか。

Admission Controllerによる拒否

2026年1月24日

`apparmor_parser` コマンドでプロファイルをカーネルにロードする際、既存のプロファイルを上書き（置換）するオプションはどれか。

apparmor_parserコマンドは-r replace

2026年1月24日

APIサーバーの `–service-account-signing-key-file` フラグは、何のために使用されるか。

SAトークンに署名する

2026年1月24日

Jobのspec.ttlSecondsAfterFinishedフィールドを指定すると、どのような効果があるか。

Job完了（または失敗）後、指定秒数が経過するとJobリソースとPodが自動削除される

2026年1月24日