K8s- 运行Pod时的root用户和非root用户的安全相关配置

于 2024-05-30 07:37:37 发布
阅读量1k 收藏 28
点赞数 11
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/dzqxwzoe/article/details/139309990
版权
关于 root 用户

1 )概述

  • docker 容器运行起来,默认是 root 用户
  • 这样运行起来后,基本不会遇到权限相关问题
  • 带来的问题是: 权限过大,被攻击后会遇到严峻挑战
  • 基于这个问题,K8s提出了特权用户的概念
  • 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能
  • 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息
  • 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改

2 )正常场景

  • $ docker run -it busybox sh
  • $ whoami 这里显示 root
  • $ id -u 0
  • $ hostname db3437d25c87
  • $ sysctl kernel.hostname=wwwwwwww sysctl: error setting key ‘kernel.hostname’: Read-only file system

3 )启用 privileged

  • $ docker run -it --privileged busybox sh
  • $ sysctl kernel.hostname=wwwwwwww kernel.hostname = wwwwwwww
  • $ hostname wwwwwwww

4 )在 yaml 中配置 securityContext 和 privileged

apiVersion: v1
kind: Pod
metadata:
  name: nginx
spec:
  containers:
  - name: nginx
    image: nginx
    securityContext:
      privileged: true
非 root 用户
  • 对容器越权访问控制,K8s 提供 securityContext 这一概念
  • 它提供一个非root用户运行容器的能力
  • 容器对root用户本身是有一定自我保护能力的
  • root权限太大,更安全方式是设定好用户和组来运行

1 )先不进行权限处理

  • 默认是root权限,但是root权限本身收到一定的限制

  • 但是root总是不太安全的

  • security.yaml

    apiVersion: v1

    kind: Pod
    metadata:
    name: security-context
    labels:
    name: security-context
    spec:
    volumes:
    - name: security
    emptyDir: {} # 这是一个 Pod 内部的临时目录
    containers:
    - name: busybox
    image: busybox
    command: [“sh”, “-c”, “sleep 1h”]
    resources:
    limits:
    memory: “64Mi”
    cpu: “500m”
    volumeMounts:
    - name: security # 注意,这个名字需要与卷定义中的 name 匹配
    mountPath: /data/demo
    securityContext:
    privileged: false # 是否以特权模式运行容器
    allowPrivilegeEscalation: false # 是否允许权限提升

  • $ kubectl apply -f security.yaml 创建 pod

    pod/security-context created

  • $ kubectl get pod -w | grep secu 查询 pod 状态

    security-context   1/1     Running            0                 21s

  • $ kubectl exec -it security-context -- sh 进入容器(pod内一个容器不用-c指定)

  • $ id 查看 id 信息

    uid=0(root) gid=0(root) groups=0(root),10(wheel)

  • $ ps 查看进程

    PID   USER     TIME  COMMAND
1 root      0:00 sh -c sleep 1h

    12 root 0:00 sh
    19 root 0:00 ps

  • $ cd /data/demo && ls -la

    total 0

    drwxrwxrwx 2 root root 6 Apr 19 04:25 .
    drwxr-xr-x 3 root root 18 Apr 19 04:26 …

  • 好,从上面可以看到都是 root 权限,现在我们进行修改

2 )添加 securityContext 配置

  • 要为 Pod 设置安全性设置,可在 Pod 规约中包含 securityContext 字段

  • 为 Pod 所设置的安全性配置会应用到 Pod 中所有 Container 上

  • 清理刚才的pod, 并对之前 yaml 文件进行编辑

  • 在 security.yaml 中添加 securityContext 更多的配置

  • 注意这个配置的位置,在 spec 下面第一个位置

    spec:

    securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000

    • 在配置文件中, runAsUser 字段指定 Pod 中的所有容器内的进程都使用用户 ID 1000 来运行
    • runAsGroup 字段指定所有容器中的进程都以主组 ID 3000 来运行
    • 如果忽略此字段,则容器的主组 ID 将是 root(0)
    • 当 runAsGroup 被设置时,所有创建的文件也会划归用户 1000 和组3000
    • 由于 fsGroup被设置,容器中所有进程也会是附组 ID 2000 的一部分
    • 卷 /data/demo 及在该卷中创建的任何文件的属主都会是组 ID 2000

  • 重新运行起来后,进入容器

  • $ kc exec -it security-context -- sh

  • $ id

    uid=1000 gid=3000 groups=2000,3000
    • 你会看到 gid 值为 3000,也就是 runAsGroup 字段的值
    • 如果 runAsGroup 被忽略,则 gid 会取值 0(root)
    • 而进程就能够与 root 用户组所拥有以及要求 root 用户组访问权限的文件交互

  • $ ps

    PID   USER     TIME  COMMAND
1 1000      0:00 sh -c sleep 1h
7 1000      0:00 sh

    15 1000 0:00 ps

  • $ cd /data/demo && ls -la

    total 0

    drwxrwsrwx 2 root 2000 6 Apr 19 04:42 .
    drwxr-xr-x 3 root root 18 Apr 19 04:42 …

  • 从上面可以看到用户权限变更了,这样在受到攻击的时候,会尽可能减少损失

学习计划安排


我一共划分了六个阶段,但并不是说你得学完全部才能上手工作,对于一些初级岗位,学到第三四个阶段就足矣~

这里我整合并且整理成了一份【282G】的网络安全从零基础入门到进阶资料包,需要的小伙伴可以扫描下方CSDN官方合作二维码免费领取哦,无偿分享!!!

如果你对网络安全入门感兴趣,那么你需要的话可以

点击这里👉网络安全重磅福利:入门&进阶全套282G学习资源包免费分享!

①网络安全学习路线
②上百份渗透测试电子书
③安全攻防357页笔记
④50份安全攻防面试指南
⑤安全红队渗透工具包
⑥HW护网行动经验总结
⑦100个漏洞实战案例
⑧安全大厂内部视频资源
⑨历年CTF夺旗赛题解析

程序员小强_
关注
  • 11
    点赞
  • 28
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s-diagrams:与kubernetes相关的图的集合
02-03
例如,它可以防止Pod使用root用户运行,或者禁止挂载特定的主机目录。 【k8s-diagrams】项目 k8s-diagrams是一个收集与Kubernetes相关的图表的资源库,这些图表可以帮助理解Kubernetes的架构、工作流程和组件间的...
k8s-terminal:K8S Web终端连接工具,Java轻量级实现
05-25
k8s-web-terminal 一个k8s网络终端连接工具,java轻量级实现。...设定档src / main / resources / application.yml kubernetes : config : config-path : /root/.kube/config 设置kubernetes配置yaml,连接k8s集群。
k8s_day03_01
qq_36801585的博客
12-05 1344
k8s_day03_01 docker-daemon 被拆分了好几个部分 containerd: 高级容器运行 :为用户使用更方便, 离用户更近、比较易用的命令行容器的管理工具但是包括docker bulid 之类的镜像管理工具【docker 当年捐献出来的只有容器运行环境,而不包括镜像打包工具】 runc: 低级容器运行环境: containerd-shim, 是为了让runc 与oci 兼容的“垫片” 就是中间层。对接k8s CRI 接口,就是从containerd-shim 开始,
k8s等运维(四)
怨行客
05-05 1563
一、共享存储 1、pv 持久化数据卷:远程共享存储—运维来管理 accessModes: ReadWriteOnce # 只有一个pod可以读写这个pv,改成ReadWriteMany就很多Pod都能 2、pvc 开发人员负责管理 描述了pod对共享存储的需求或者期望 3、kubectl create pv和pvc后,pv和pvc要建立好绑定关系,才能使用起来 pv要满足pvc的需求,想存储大小啊,读写权限啊 把pvc的资源描述对象里把pv添加进去,就是绑定在一起了 pod就可以像使用volumes一
k8s设置pod privileged权限(特权):securityContext.privileged=true
学亮编程手记
03-01 9675
k8s部署es的候需要初始化很多linux的内核参数。 但是文件系统挂载到pod容器中就会变成read-only,难以进行操作实现需求。 所以需要给POD privileged权限,然后在容器的初始化脚本或代码中去修改sysctl参数。 创建POD/deployment/daemonset等对象, 给容器的spec指定securityContext.privileged=true即可。 ...
Kubernetes安全指南:Pod中的root用户root用户配置详解
最新发布
qq_44103359的博客
04-23 598
通过本文的详细讲解和实例演示,我们可以看到如何在Kubernetes配置Pod中的root用户root用户,以提高集群的安全性。使用root用户配置安全上下文、使用网络策略和容器安全技术,都可以帮助我们在Kubernetes中构建一个更加安全的集群。随着技术的不断进步,我们有理由相信,这些安全配置将在未来发挥更大的作用,为Kubernetes集群提供更加高效和便捷的解决方案。
K8S Pod安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期
BoCloud博云
04-06 2665
容器编排之争在 Kubernetes 一统天下局面形成后,K8S 成为了云原生代的新一代操作系统。K8S 让一切变得简单了,但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面,将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同,又可以如庖丁解牛般领略其内核运行机制的魅力。
Go-k8s-ovs是一个使用openvswitch为K8S提供SDN功能的项目
08-14
此外,由于Go-k8s-ovs是基于OpenShift SDN的,所以它可能继承了OpenShift在大规模集群管理和安全性方面的最佳实践。 总之,Go-k8s-ovs项目为Kubernetes提供了使用Open vSwitch的SDN解决方案,它结合了Go语言的优势...
k8s-security-demos:几个kubernetes安全功能的演示
02-04
4. **Security Context**: Security Context是设置在Pod容器级别的一种配置,用于指定运行的权限和安全性选项。它可以设置用户ID、组ID、SELinux上下文、capabilities等,以降低容器被攻击的风险。 5. **...
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术中常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
K8S系列(七)应用配置管理
林木森的博客
07-10 607
首先一起来看一下需求来源。大家应该都有过这样的经验,就是用一个容器镜像来启动一个 container。要启动这个容器,其实有很多需要配套的问题待解决:ConfigMap 主要是管理一些可变配置信息,比如说我们应用的一些配置文件,或者说它里面的一些环境变量,或者一些命令行参数。它的好处在于它可以让一些可变配置容器镜像进行解耦,这样也保证了容器的可移植性我们推荐用 kubectl 这个命令来创建,它带的参数主要有两个:一个是指定 name,第二个是 DATA。其中 DATA 可以通过指定文件或者指定目录,以及
root切换普通用户执行kubectl exec 执行pod命令
完颜振江
05-17 1604
Bash命令大体可以分为两类: 第一类是可执行文件,例如ls等 第二类是Bash内建命令exec命令同样类似于docker的exec命令,为在一个已经运行容器中执行一条shell命令,如果一个pod容器中,有多个容器,需要使用-c选项指定容器。执行Pod的data命令,默认是用Pod中的第一个容器执行。
如何用root账号安装k8s集群
jiangbb8686的博客
07-29 1384
使用kubeadm和kubespray: 如果你想要在多节点环境下安装Kubernetes集群,可以使用kubeadm和kubespray组合。在大多数情况下,为了安装 KubernetesK8s)集群,需要具有root权限或者以root身份执行某些操作,例如安装软件包和配置系统级别的设置。在生产环境中,为了避免潜在的权限问题,建议寻求管理员的帮助来安装Kubernetes集群。使用Minikube: Minikube是一个用于在本地机器上运行单节点Kubernetes集群的工具,它不需要root权限。
k8s 容器内操作报Permission defined,以root运行容器,定义Pod的特权和访问控制权限
热门推荐
qq_32352777的博客
05-10 1万+
目录 前言 查阅官方文档,找答案 解决方案 前言 当我们通过Pods、Daemon Sets、Deployments等方式运行pod,大部分镜像容器默认是无特权的运行,独立用户运行的,以elastic/filebeat为例,查看用户用户组: 可以看到默认是使用uid=1000的filebeat用户,当我们想在容器中创建文件、或者修改文件就会提示Permission defined,如下图所示: 我们可以看到filebeat用户没有写的权限,如果要解决这个问题我们可以通过
k8s不求甚解系列:POD的特权模式
weixin_38757398的博客
12-04 3030
本文描述了k8s中的特权pod相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
K8s攻击案例:Privileged特权容器导致节点沦陷
12-19 7361
01、概述特权容器(Privileged Container)是一种比较特殊的容器,在K8s运行特权容器,需要将Privileged 设为 true ,容器可以执行几乎所有可以直接在主机上执行的操作。基于此,利用容器的特权配置可以获取容器所在节点的权限,甚至从节点权限提升至集群管理员权限。02、攻击场景编写yaml文件,在securityContext中加入参数,将privileged设置为t...
k8s集群中以root用户进入容器
weixin_35750483的博客
02-15 1846
Kubernetes集群中,建议不要使用root用户运行容器,因为这可能会导致安全问题。但是,如果您真的需要以root用户身份进入容器,可以使用以下步骤: 找到要进入的容器的名称或ID。可以使用以下命令列出所有运行中的容器kubectlget pods ...
root用户运行容器K8S SecurityContext)
小单的博客专栏
08-04 4854
一、从构建镜像的角度下手 将root用户添加到Dockerfile # RUN命令执行创建用户用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
docker创建容器配置了--privileged -u root --entrypoint使用k8s使用镜像创建pod是不是也要配置超级用户
06-03
Kubernetes中,容器运行Pod中的,而PodKubernetes调度器的最小单位。因此,要在Kubernetes中创建一个具有特权的容器,你需要在Pod级别上进行配置,而不是在容器级别上进行配置。 要在Kubernetes中创建一个具有特权的Pod,你需要在Pod的spec中添加"securityContext"字段,并设置"runAsUser"和"privileged"属性。例如: ``` apiVersion: v1 kind: Pod metadata: name: my-privileged-pod spec: containers: - name: my-container image: my-image securityContext: privileged: true command: ["sleep", "3600"] ``` 这将创建一个名为"my-privileged-pod"的Pod,其中包含一个名为"my-container"的容器。该容器运行在特权模式下,并使用root用户身份运行。请注意,这可能会带来安全风险,因此你应该尽可能限制使用特权容器。 总之,你需要在Pod级别上进行配置,以创建具有特权的容器
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值