K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged

最新推荐文章于 2025-02-21 10:13:55 发布
最新推荐文章于 2025-02-21 10:13:55 发布
阅读量2.5k 收藏 31
点赞数 27
文章标签: kubernetes 安全 linux
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_87198828/article/details/142348769
版权
  1. AppArmor:定义Pod使用AppArmor限制容器对资源访问限制
  2. Seccomp:定义Pod使用Seccomp限制容器进程的系统调用。
  3. AllowPrivilegeEscalation: 禁止容器中进程(通过 SetUID 或 SetGID 文件模式)获得特权提升。当容器以特权模式运行或者具有CAP_SYS_ADMIN能力时,AllowPrivilegeEscalation总为True。
  4. readOnlyRootFilesystem:以只读方式加载容器的根文件系统。

1.1 配置参数

注意事项:

  • securityContext下配置的参数是针对该pod里的所有容器生效。
  • containers下配置的参数只对某个容器生效,不同容器配置各自需要的参数。
pod安全上下文配置参数 释义
spec.securityContext Pod级别的安全上下文,对内部所有容器均有效。
spec.securityContext.runAsUser < integer > 以指定的用户身份运行容器进程,默认由镜像中的USER指定。
spec.securityContext.runAsGroup < integer > 以指定的用户组运行容器进程,默认使用的组随容器运行时。
spec.securityContext.fsGroup < integer > 数据卷挂载后的目录文件设置为该组。
spec.securityContext.runAsNonRoot < boolean > 是否以非root身份运行。
spec.securityContext.seLinuxOptions < Object > SELinux的相关配置。
spec.securityContext.sysctls < lObject > 应用到当前Pod的名称空间级别的sysctl参数设置列表。
spec.containers. securityContext 容器级别的安全上下文,仅生效于当前容器。
spec.containers. securityContext.runAsUser < integer > 以指定的用户身份运行容器进程。
spec.containers. securityContext.runAsGroup < integer > 以指定的用户组运行容器进程。
spec.containers. securityContext.runAsNonRoot < boolean > 是否以非root身份运行。
spec.containers. securityContext.allowPrivilegeEscalation < boolean > 是否允许特权升级。
spec.containers. securityContext.capabilities < Object > 于当前容器上添加 (add) 删除 (drop)的内核能力。
spec.containers. securityContext.add < [ ]string > 添加由列表定义的各内核能力。
spec.containers. securityContext.drop< [ ]string > 移除由列表定义的各内核能力。
spec.containers. securityContext.privileged < boolean > 是否运行为特权容器。
spec.containers. securityContext.readOnlyRootFilesystem < boolean > 是否将根文件系统设置为只读模式
spec.containers. securityContext.selinuxOptions < opect > SeLinux的相关配置。

1.2 案例1

背景

  • 容器中的应用程序默认以root账号运行的,这个root与宿主机root用户权限是一样的,拥有大部分对Linux内核的系统调用权限,不安全,所以我们应该将容器里的程序以普通用户运行,减少应用程序对权限的使用。

需求:

  • 设置容器以普通用户运行。

实现思路:

  1. Dockerfile里使用USER指定运行用户。
  2. K8s里指定spec.securityContext.runAsUser,指定容器默认用户UID。
1.2.1 dockerfile方式

1.准备程序源码。我这里是使用python写的一个脚本,渲染了一个index.html的模板首页,端口是8080。

[root@k8s-master1 flask-demo]# cat Dockerfile 
FROM python                          ##基于python基础镜像构建。
RUN mkdir /data/www -p        
COPY . /data/www              ##将当前目录下的文件目录拷贝到/data/www目录。
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/  ##安装flask,是Python 的一个web框架
WORKDIR /data/www               ##定义默认目录。
CMD python qingjun.py                ##使用python启动这个man.py脚本。


##使用python写了一个web的demo。
[root@k8s-master1 flask-demo]# cat qingjun.py 
from flask import Flask,render_template

app = Flask(__name__)

@app.route('/')
def index():
    return render_template("index.html")

if __name__ == "__main__":
    app.run(host="0.0.0.0",port=8080)

[root@k8s-master1 flask-demo]# cat templates/index.html 
<!DOCTYPE html>
<html lang="en">
<head>
    <meta charset="UTF-8">
    <title>首页</title>
</head>
<body>

<h1>你好  qingjun!</h1>

</body>
</html>

2.构建镜像。

[root@k8s-master1 flask-demo]# docker build -t flask-demo:v1 .

在这里插入图片描述
3.使用构建镜像运行容器qingjun,此时可以查看到容器运行的进程是以root用户进行的。

[root@k8s-master1 flask-demo]# docker run -d --name=qingjun -p 80:8080 flask-demo:v1

在这里插入图片描述
在这里插入图片描述
4.访问web页面。
在这里插入图片描述

5.此时我们修改dockerfile,指定使用普通用户启用。

[root@k8s-master1 flask-demo]# cat Dockerfile 
FROM python
RUN useradd qingjun    ##创建普通用户qingjun。
RUN mkdir -p  /data/www 
COPY . /data/www  
RUN chown -R qingjun /data     #数据目录修改权限,不然还是root用户。
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/
WORKDIR /data/www
USER qingjun       ##指定使用什么用户启用python程序。
CMD python qingjun.py

6.再次构建镜像。

[root@k8s-master1 flask-demo]# docker build -t  flask-demo:v2 .

7.新镜像运行容器baimu,此时可以查看到容器运行的进程是以普通用户pyuser进行的。

[root@k8s-master1 flask-demo]# docker run -d --name=baimu -p 81:8080 flask-demo:v2

在这里插入图片描述
在这里插入图片描述
8.访问网页。
在这里插入图片描述

1.2.2 pod安全上下文方式

deployment.yaml指定示例:

spec:
 securityContext:
   runAsUser: 1000          ##镜像里必须有这个用户UID。
   fsGroup: 1000            ##数据卷挂载后的目录属组设置为该组。
 containers:
 - image: 192.168.130.152/qingjun/flask-demo:v3
   name: web
   securityContext:
     allowPrivilegeEscalation: false     ##不允许提权。

1.使用dockerfile构建一个镜像,创建一个普通用户qingjun用户,但不指定qingjun用户启用程序。

[root@k8s-master1 ~]# cat dockerfile 
FROM python
RUN mkdir /data/www -p
RUN useradd qingjun
COPY . /data/www
RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/
WORKDIR /data/www
CMD python qingjun.py 

##构建镜像
最低0.47元/天 解锁文章
K8s进阶6——pod安全上下文Linux CapabilitiesOPA Gatekeepergvisor
wangluoanquan111的博客
02-22 1064
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。容器中的应用程序默认以root账号运行的,这个root与宿主机root用户权限是一样的,拥有大部分对Linux内核的系统调用权限,不安全,所以我们应该将容器里的程序以普通用户运行,减少应用程序对权限的使用。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。
kubernets CKS 4.1 Pod安全上下文(一)
cloud_engineer的博客
07-10 1192
安全上下文(Security Context):K8sPod容器提供的安全机制,可以设置Pod特权访问控制。
k8sGateKeeper简介
最新发布
woshihlf的博客
02-21 913
GatekeeperKubernetes社区精心维护的开源项目,本质上是一款基于约束的政策管理工具。在Kubernetes集群管理领域,它扮演着至关重要的角色。用户借助Gatekeeper,能够自定义一组严谨的政策规则,以此对Kubernetes集群内资源的创建修改过程进行全方位的限制与管控。它通过与Kubernetes的API Server深度集成,达成了对集群资源变化的实时监控。一旦有资源状态发生改变,Gatekeeper便会依据事先设定好的政策规则,即刻展开验证与合规性检查。
kubernets CKS 4.2 Pod安全上下文(二)
cloud_engineer的博客
07-13 975
安全上下文(Security Context):K8sPod容器提供的安全机制,可以设置Pod特权访问控制。
Kubernetes 系统强化 Pod安全上下文
小楼一夜听春雨,深巷明朝卖杏花
07-06 780
安全上下文(Security Context):K8sPod容器提供的安全机制,可以设置Pod特权访问控制。 背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。(容器是宿主机上面的进程,该进程有r非常大的权限,容器只是在宿主机上面封装了状态,也是一个实际进程) 可以通过两种方法设置普通用户: • Dockerfi
K8s进阶6——pod安全上下文(1),重难点整理
2401_84138785的博客
04-07 1241
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
K8s进阶6——pod安全上下文Linux CapabilitiesOPA Gatekeepergvisor_allowprivilegeescalationprivileged(1)
2401_87298823的博客
09-22 1517
2.测试一,当创建deployment资源时,没有匹配到“securityContext.privileged: true” 字段,说明该容器没有启用特权,可以正常创建,没有违反约束,所以最后可以正常创建deploy。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器,进去查看容器内核版本,现实的是宿主机的内核版本。
老卫带你学---K8S源码剖析(Capabilities
老卫带你学
03-05 532
我们可以在pod、container中通过设置securityContext来限制container对宿节点的权限。
有了这个网络安全面试题,面试就像开了挂!(附PDF)
lvaolan的博客
02-26 1423
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!​​​​内容实在太多,不一一截图了。
k8s系列】gvisor安装与containerd集成
weixin_42072280的博客
01-11 2462
k8s系列】gvisor安装与containerd集成
二十九、K8s最小服务漏洞3-gVisor沙箱
tushanpeipei的博客
12-16 2937
使用containerd+gvisorK8S环境中运行pod
Kubernetes 最小化微服务漏洞 gVisor与Containerd集成
小楼一夜听春雨,深巷明朝卖杏花
07-14 620
已经测试过的应用工具:https://gvisor.dev/docs/user_guide/compatibility/ 这里可以看到现有的哪些应用可以使用gvisor,因为官方已经给你测试了。除此之外不能够百分之百去使用。除此之外还有哪些工具是可以使用的。 安全沙箱运行容器:gVisor与Containerd集成 由docker切换到containerd容器引擎(安装conatinerd------>kubelet安装containerd----->最后验证) 在切换之..
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 652
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸横向攻击等。我们说攻防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
禁止K8S容器内子进程拥有提升权限的能力
fushan2012的博客
03-09 252
介绍 通过禁止容器内子进程拥有提升权限的能力,可以降低被容器中的恶意进程实现越权操作的风险。 如果确认当前工作负载确实需要允许容器内子进程拥有提升权限的能力的话,可以忽略此配置。 解决方案 修改工作负载的 Pod Spec 中的 securityContext定义,增加 allowPrivilegeEscalation: false配置。 配置示例 # Pod Spec (container configuration) securityContext: allowPrivilegeEscalati
保障K8s部署中的安全
Free雅轩的博客
10-16 428
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护强化Kube
kubernetes--安全沙箱运行容器gVisor
m0_57911290的博客
03-02 4057
所知,容器的应用程序可以直接访问Linux内核的系统调用,容器在安全隔离上还是比较弱,虽然内核在不断的增强自身的安全特性,但由于内核自身代码极端复杂,CVE漏洞层出不穷。所以要想减少这方面安全风险,就是做好安全隔离,阻断容器内程序对物理机内核的依赖。Google开源的一种gVisor容器沙箱技术就是采用这种思路,gVisor隔离容器内核之间访问,提供了大部分内核的系统调用,巧妙的将容器内进程的系统调用转为给gViosr的访问。gVisor兼容OCI,与DockerK8s无缝集成,很方便使用。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值