当我在 kubernetes 中打开 chown 或 dac_override 功能时是否存在任何安全问题
Is there any security issue when I open the chown or dac_override capabilities in kubernetes
作为 Kubernetes 集群管理员,我被要求启用 chown、dac_override 和 fowner Linux SHARED Kubernetes 集群中一些特殊功能 Pods.
但是我发现在Container中打开这些能力是很可怕的:
https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick
我想知道 Pods 是否只能在 Pod 中的 files/folders 上使用这些功能?或者他们也可以在主机 files/folders 上使用它们来破解某些东西?
我也开启了RunAsRoot权限,但禁用了Privileged权限。
所以我想知道在 Kube 集群中启用这些功能是否存在任何安全问题?
或者有什么方法可以让一些特殊的 Pods 拥有这些能力?
非常感谢!
只要您信任这些 pods 中的 k8s 控制器(Deployment、StatefulSet、DaemonSet),您就可以使用其他与文件系统相关的功能。默认情况下,pods 无法写入主机文件系统。而且你不应该在你的特殊 pods 的控制器中有 hostPath volumes 来消除从这些 pods.
内部写入主机文件系统
作为 Kubernetes 集群管理员,我被要求启用 chown、dac_override 和 fowner Linux SHARED Kubernetes 集群中一些特殊功能 Pods.
但是我发现在Container中打开这些能力是很可怕的: https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick
我想知道 Pods 是否只能在 Pod 中的 files/folders 上使用这些功能?或者他们也可以在主机 files/folders 上使用它们来破解某些东西?
我也开启了RunAsRoot权限,但禁用了Privileged权限。
所以我想知道在 Kube 集群中启用这些功能是否存在任何安全问题?
或者有什么方法可以让一些特殊的 Pods 拥有这些能力?
非常感谢!
只要您信任这些 pods 中的 k8s 控制器(Deployment、StatefulSet、DaemonSet),您就可以使用其他与文件系统相关的功能。默认情况下,pods 无法写入主机文件系统。而且你不应该在你的特殊 pods 的控制器中有 hostPath volumes 来消除从这些 pods.