Openshift平台容器内root权限获取方案

最新推荐文章于 2024-01-05 09:00:27 发布
最新推荐文章于 2024-01-05 09:00:27 发布
阅读量2.1k 收藏 4
点赞数 1
分类专栏: k8s问题处理 openshift的root权限问题
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/Billy_xxu/article/details/102662731
版权

第1章 文章目的 

第2章 结合SCC安全机制的解决方案 

  2.1 什么是scc 

  2.2 操作步骤 

 

1 文章目的

  Openshift平台中,当在容器内需要用到root权限时,仅仅在dockerfile中指定user为root还是不够的,结合privileged参数以及oc adm policy add-scc-to-group anyuid system:authenticated命令能够使root用户拥有真正的root权限,但上面的命令能够使当前ns下的所有登入用户都使用anyuid,这样做会令系统有安全性问题,故不推荐使用该模式。必要时为我们仍需为个别容器提供root权限,但应该仅于限指定的容器而不是所有,结合openshift特性提出解决方法。

 

2 结合SCC安全机制的解决方案

  2

最低0.47元/天 解锁文章
AprildayOe
关注
  • 1
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
docker的root权限漏洞
qq_26016969的博客
07-22 1232
docker的root权限漏洞
智融集团基于OpenShift容器化PaaS平台实践
02-24
通过OpenShift,企业可以快速搭建稳定、安全、高效的容器应用平台。在这个平台上:1.可以构建企业内部的容器应用市场,为开发人员快速提供应用开发所依赖的中间件、数据库等服务。2.通过自动化的流程,开发人员可以...
openshift origin 用户权限创建
j_ychen的博客
04-11 4026
接上一篇的安装完成后需要创建用户,才能登陆平台。安装的时候我采用了在Ansible的hosts文件中定义了HTPasswd文件作为后端的用户身份信息库。安装程序自动生成了数据文件/etc/origin/master/htpasswd。但是此时该文件还是一个空文件,并没有任何用户信息。1.  这里我通过htpasswd命令来创建用户# htpasswd -b /etc/origin/master/h...
Openshift服务部署中的权限控制
cloudvtech的博客
05-07 5325
一、前言Openshift具有很优秀的权限管理机制,提供非常细粒度的权限管理。访问Openshift平台服务的方式包括GUI、命令行、API、POD运行的权限,而可能的访问实体包括自然用户、外部应用程序、内部模块、POD内程序。这些不同的访问方式和访问实体需要使用灵活的机制去进行权限赋予和权限认证。自然用户访问Openshift平台的时候凭借用户名和密码或者kubeconfig的key文件可以在进...
OpenShift 4 - 提权运行容器
多恩斯基的博客
07-12 651
Docker缺省可以使用root身份运行容器中服务。出于安全,这在OpenShift中缺省是不被允许的。不过可以通过设置OpenShift的SCC的缺省配置,来运行这种不能正常运行的容器镜像。 运行HTTP容器 $ oc new-project http $ oc new-app --docker-image=httpd:2.4.17 查看pod状态,确认已经是“CrashLoopBackOff”状态。 $ oc get pod -w NAME READY STATUS
Linux系统重置和修改root密码
weixin_30653023的博客
08-28 782
Linux系统经常会出现忘记root密码的情况,写下此随笔,以便记忆和学习。 一、重置root密码的步骤如下: 1.如果系统是开机状态,重启一下。进到下面这个界面按字母“e”键。 2.找到 linux16这一行,将下图红框中的内容修改为:rw rd.break 3.按“Ctrl + x”键,进入救援模式,如下 4.依次输入以下命令。 5.重启完成后,验证...
Openshift平台实现Devops方案.docx
10-11
Openshift 平台实现 DevOps 方案 OpenShift 平台是 Red Hat 公司推出的一个基于 Docker 容器的云应用平台,旨在帮助开发者和运维团队更好地协作,实现 DevOps 运作模式。OpenShift 平台提供了一个自动化的应用生命...
OpenShift容器平台新功能介绍.pdf
10-11
OpenShift容器平台是Red Hat推出的企业级容器化应用程序管理和部署解决方案,基于Kubernetes进行扩展,为用户提供了全面的容器编排和集群管理能力。在不断的发展和更新中,OpenShift引入了诸多新功能,旨在优化...
openshift-container-platform:Azure上的OpenShift容器平台
04-30
OpenShift容器平台3部署模板 注意:回购的结构 Master分支已更新,以部署版本3.11 已完成重大更新-部署前请先阅读 master分支包含OpenShift Container Platform 3的最新版本,当前版本为3.11。 我们将仅维护OCP当前...
该死的anyuid
weixin_34242658的博客
05-17 352
2019独角兽企业重金招聘Python工程师标准>>> ...
Openshift安装weave
运维求生之路
10-16 242
weave安装 https://www.weave.works/docs/scope/latest/installing/#k8s oc new-project weave #Scope probe pods need full access to Kubernetes API via ‘weave-scope’ service account oc adm policy add-cluster-...
openshift开启anyuid-pod未使用应用指定账户操作,无权限问题
haiziccc的专栏
04-24 1003
经常遇到有应用报镜像部署的时候报权限不够,或者应用部署后发现某个功能没权限执行,这是因为openshift默认会分配一个 uid 1000920000的用户作为应用运行的账户,如果需要使用指定的账户运行,则需要开启anyuid,而anyuid默认是关闭的。 开启方式如下: 登录到master,执行oc project porject-name,会提示已经切换到porject-name; ...
openshift常用命令(转载)
完颜振江
09-20 850
openshift常用命令(转载)
【转】openshift运行应用权限报错解决
云原生,DevOps,Kubernetes
09-29 1017
openshift里多了scc概念.scc是security context constraints缩写.安全上下文约束. 简单讲就是授权的. 系统有一大堆权限,包含访问project的权限,访 问api的权限等.新建个用户后,酌情把这些权限授权他们.在我新建的 project ,demo-project里新建了个nginx. 报错. 参考: https://docs.openshift.co...
OpenShift 4 - 容器安全之 SecurityContext 配置
最新发布
多恩斯基的博客
01-05 1177
以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。
OpenShift 4 - 安全上下文 SecurityContext
多恩斯基的博客
12-15 1480
Security Context 什么是安全上下文(Security Context) 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。管理员可以使用Security Context 定义运行的Pod是否有以下权限: Pod 能否运行特权容器。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 将主机目录当做卷使用。 容器的 SELinux 上下文。 基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问
Openshift安装istio
运维求生之路
10-16 769
参考istio官网:https://istio.io/docs/ 0.概念 Envoy 被部署为 sidecar,和对应服务在同一个 Kubernetes pod 中。这允许 Istio 将大量关于流量行为的信号作为属性提取出来,而这些属性又可以在 Mixer 中用于执行策略决策,并发送给监控系统,以提供整个网格行为的信息。 Citadel 通过内置身份和凭证管理赋能强大的服务间和最终用户身份验证...
linux怎么进入root权限
热门推荐
顺其自然~专栏
03-02 4万+
在linux下系统的默认root用户是不被启用的,这和MS windows的做法恰恰相反,windows XP却是安装好系统好,就给你创建一个自动登录的管理员用户,不过Linux不一样的这一点也大大地增加了系统的安全性,但同时对我们的操作使用有了些特别的要求,下面我们就讲讲linux怎么进入root权限。推荐只有当要修改系统设置,或安装软件时才使用root用户的权限。
k8s(openshift) 部署istio1.1
acpf94337的博客
05-16 609
准备工作: openshift 默认不允许UID为0的容器运行,要先授权scc以便安装istio # oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account -n istio-system # oc adm policy add-scc-to-user anyuid -z default -n ...
openshift 进入容器
08-16
要进入 OpenShift 中某个 Pod 的容器内部,可以使用以下命令: 1. 首先,使用以下命令查看正在运行的 Pod 列表,并找到您想要进入的 Pod 的名称: ``` oc get pods -n <namespace> ``` 请将 `<namespace>` 替换为您所在的命名空间名称。 2. 然后,使用以下命令进入该 Pod 的容器: ``` oc exec -it <pod_name> -n <namespace> -- bash ``` 请将 `<pod_name>` 替换为您要进入的 Pod 的名称,将 `<namespace>` 替换为该 Pod 所在的命名空间。上述命令中的`-- bash`表示进入容器的默认 shell。 如果您想要进入容器内部的特定容器(例如一个 Pod 中包含多个容器),可以在命令中指定容器名称,如下所示: ``` oc exec -it <pod_name> -n <namespace> -c <container_name> -- bash ``` 请将 `<container_name>` 替换为您要进入的具体容器的名称。 通过执行上述命令,您将进入所选 Pod 的容器内部,并可以在容器内执行命令和操作。请注意,执行这些命令需要相应的权限,并且确保您选择正确的 Pod 和容器进行操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值