Kubernetes 中特权模式(Privileged Mode)容器

最新推荐文章于 2025-03-25 21:02:06 发布
最新推荐文章于 2025-03-25 21:02:06 发布
阅读量1.3k 收藏 27
点赞数 26
分类专栏: K8s 文章标签: kubernetes 容器 云原生
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/hezuijiudexiaobai/article/details/145565280
版权

目录标题

Kubernetes 中的特权模式容器笔记

特权模式定义

在 Kubernetes 中,特权模式是一种特殊的 Pod 配置,允许容器内的进程拥有接近宿主机的访问权限。在特权模式下运行的容器可以访问宿主机的所有设备,执行需要更高权限的系统调用,甚至可以在容器内部运行 Docker 守护进程。

特权模式的配置

在 Kubernetes 中,可以通过 Pod 定义中的 securityContext 设置容器为特权模式。例如:

apiVersion: v1
kind: Pod
metadata:
  name: privileged-pod
spec:
  containers:
  - name: container
    image: ubuntu
    securityContext:
      privileged: true

特权模式的影响

  • 访问权限:容器内的进程可以访问宿主机的所有设备。
  • 系统调用:可以执行需要更高权限的系统调用。
  • 安全风险:减少了容器与宿主机之间的隔离,增加了安全风险。

如何检查特权模式

要检查 Kubernetes 集群中的 Pod 是否以特权模式运行,可以使用 kubectl describe pod <pod-name> 命令,查看 Pod 的详细信息,包括其安全上下文设置。

查看 Pod 详细信息

kubectl describe pod <pod-name>

ka get pod oracle-6c0782740-0 -oyaml | grep -C 5  privileged

在这里插入图片描述

查找 Security Context 部分

在输出中,查找 Containers 部分下的 Security Context,如果 privileged 显示为 true,则表明该容器以特权模式运行。

特权模式的使用建议

  • 谨慎使用:特权模式应谨慎使用,仅在必要时启用。
  • 安全考虑:在生产环境中,建议避免使用特权容器,以减少潜在的安全风险。
  • 最小权限原则:尽量遵循最小权限原则,仅授予必要的权限。

总结

特权模式在 Kubernetes 中提供了更高的灵活性和访问权限,但同时也带来了安全风险。在实际使用中,应权衡利弊,谨慎使用特权模式,并采取适当的安全措施来保护集群集的安全。

希望这份笔记能帮助你更好地理解和使用 Kubernetes 中的特权模式容器。如果有任何疑问或需要进一步的信息,请随时提问。

容器里面ps -ef和宿主机是一样的

在这里插入图片描述

可能的原因

  1. 容器与宿主机共享命名空间
    如果容器是以特权模式(--privileged)运行的,或者容器与宿主机共享了某些命名空间(如 PID 命名空间),那么容器内部的进程列表将包含宿主机的进程。这是因为 PID 命名空间共享后,容器内的进程可以看到宿主机上的所有进程。

  2. 查看的是宿主机的进程
    在某些情况下,容器可能直接显示宿主机的进程信息,而不是容器自身的进程信息。这可能是因为容器的 PID 命名空间没有被隔离,或者容器是以某种方式配置为显示宿主机的进程信息。

  3. 容器内没有运行额外的进程
    如果容器内除了容器运行时的进程(如 containerddockerd 等)之外,没有启动其他进程,那么 ps -ef 命令可能不会显示额外的进程。这可能是因为容器设计为只运行单个前台进程,而该进程已经退出,导致容器没有其他活跃的进程。

  4. 容器配置问题
    容器的配置可能存在问题,导致容器没有正确地创建自己的 PID 命名空间。这可能是由于 Docker 或其他容器运行时的配置错误。

  5. 查看方式问题
    在容器内部执行 ps -ef 命令时,如果没有指定容器的 PID 命名空间,可能会显示宿主机的进程信息。可以尝试使用 ps -ef -p $$(其中 $$ 是当前进程的 PID)来限制显示当前进程及其子进程的信息。

解决方法

  1. 检查容器的运行参数
    确保容器是以非特权模式运行的,并且正确配置了 PID 命名空间。例如,避免使用 --privileged 标志,而是使用 --pid=host 来明确指定 PID 命名空间的行为。

  2. 使用 Docker 的 --pid 参数
    在运行容器时,可以使用 --pid=host 参数来共享宿主机的 PID 命名空间,或者使用 --pid=container:<container_id> 来与其他容器共享 PID 命名空间。

  3. 检查容器的进程隔离
    确保容器的 PID 命名空间是隔离的,这样容器内部的 ps -ef 命令将只显示容器内部的进程。

  4. 使用 docker top 命令
    使用 docker top <container_id> 命令来查看容器内部的进程列表,这个命令会显示容器内部的进程信息,而不是宿主机的进程信息。

通过这些方法,你可以更好地理解和控制容器内部的进程行为,确保容器的隔离性和安全性。

Docker特权容器与capability
SHELLCODE_8BIT的博客
08-17 668
(1条消息) Docker 容器安全(1):我的容器真的需要privileged权限吗?_富士康质检员张全蛋的博客-CSDN博客_docker privileged
云原生kubernetes中的认证、权限设置--RBAC授权原理分析与应用实战
景天科技苑
05-27 1万+
k8s对我们整个系统的认证,授权,访问控制做了精密的设置;对于k8s集群来说, apiserver是整个集群访问控制的唯一入口,我们在k8s集群之上部署应用程序的时候, 也可以通过宿主机的NodePort暴露的端口访问里面的程序, 用户访问kubernetes集群需要经历如下认证过程:认证->授权->准入控制(adminationcontroller)
Kubernetes攻防 | 容器逃逸 - privileged 容器内 mount device
Trollz的博客
03-14 615
Kubernetes attack and defense | container escape - privileged container mount device
Docker容器开启特权模式
xjfyt0129的博客
06-05 2691
解决docker容器特权模式的问题
容器特权和接口爆破
qq_15821487的博客
03-22 877
容器特权通常指的是容器具有超级用户权限,可以执行一些需要高权限的操作,如挂载文件系统、读取敏感数据等。在容器化技术中,如Docker,默认情况下容器是以非特权模式(non-privileged)运行的,这意味着容器没有root权限。容器通常会运行在用户空间中,并且不能访问宿主机的某些敏感系统资源,如其他用户的文件、内核模块等。--cap-add--cap-drop请注意,尽管特权容器可以执行更广泛的操作,但它们仍然受到Docker安全配置的限制。
容器安全 - 利用特权模式运行的容器,实现容器逃逸和入侵
多恩斯基的博客
11-16 2256
《OpenShift 4.x HOL教程汇总》 说明 建议使用以下环境模拟本文的容器逃逸: https://www.katacoda.com/bluedata/scenarios/centos 执行命令安装docker运行环境。 $ sudo yum install docker -y 实现容器逃逸 获取宿主机控制权 先查看当前本机的IP地址,本环节为“172.17.0.28”。 $ ip a 1: lo: <LOOPBACK,UP,LOWER_UP> mtu 65536 qdisc
k8s不求甚解系列:POD的特权模式
weixin_38757398的博客
12-04 3992
本文描述了k8s中的特权pod的相关定义、使用场景。在文章的后半段给出了一份笔者的实践过程,期望能够带给读者启发
第55章:零信任安全模型在Kubernetes中的实现
最新发布
上海交通大学电院毕业,现互联网大厂开发工程师
03-25 45
零信任安全模型为Kubernetes环境提供了全面的安全框架,通过"永不信任,始终验证"的原则,大大提高了系统的安全性。在Kubernetes中实施零信任需要关注身份认证、细粒度访问控制、网络安全与微分段以及持续验证与监控等多个方面。通过本章的学习,读者应该了解了零信任安全模型的核心原则,以及如何在Kubernetes环境中实施这一模型的具体方法和最佳实践。零信任不是一个单一的产品或技术,而是一种安全理念和架构方法,需要组织从技术、流程和人员三个方面共同努力才能实现。
Kubernetes与Python:Docker容器编排的进阶之路
![Kubernetes与Python:Docker容器编排的进阶之路](https://content.cloudthat.com/resources/wp-content/uploads/2023/11/Picture2-3.png) ...Kubernetes以其强大的集群管理能力,迅速成为了容器编排领
kubernetes集群部署GlusterFS分布式文件系统
刘元林的博客
05-31 1226
#1.metadata:data:EOF##2.metadata:true 2d23h定义文件如下,该PVC申请1G空间,StorageClass使用gluster-heketi。PVC一旦生成,系统便触发Heketi进行相应操作:1、GlusterFS集群上创建Brick,再创建Volume。
K8s(六):网络插件之Calico安装与详解
热门推荐
✨ 欢迎来到【Seal ^_^ 的CSDN博客】!✨
04-02 2万+
🔴 K8s(六):网络插件之Calico安装与详解
Docker容器逃逸-特权模式-危险挂载-Procfs
XXokok的博客
04-18 1422
Docker容器逃逸-特权模式-危险挂载-Procfs
查看容器是否开启了特权模式
喝醉酒的小白
02-20 1696
通过使用这些配置,您可以在Kubernetes集群中配置容器的安全性和权限级别。请注意,在为容器设置特权模式时,需要谨慎考虑潜在的安全风险,并确保只向可信的容器授予特权。这段代码是Kubernetes中的Pod配置文件中的。请注意,只有在具有足够权限的情况下,才能运行。它用于定义容器的安全上下文。
容器:特权容器 VS 非特权容器,2024年最新Linux运维开发还会吃香吗
2401_83621095的博客
04-16 406
使用特权容器虽然提供了更大的灵活性和能力,但同时也大大增加了安全风险。容器逃逸攻击(即容器内的攻击者获取宿主机权限)在特权容器中更容易发生。因此,除非绝对必要,否则不推荐使用特权容器,而应尽量采用非特权容器并根据需要授予特定权限。在设计和部署容器时,始终需要权衡灵活性、功能需求和安全性。新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)
多恩斯基的博客
10-19 1394
本文将演示如何利用在 Kubernetes容器privileged、hostpath、hostpid、hostipc、hostnetwork 配置实现对容器或宿主机的攻击,包括获得敏感数据、杀掉关键进程等。
容器:特权容器 VS 非特权容器
十年运维开发经验的王义杰在此分享自己的知识和经验
01-08 845
使用特权容器虽然提供了更大的灵活性和能力,但同时也大大增加了安全风险。容器逃逸攻击(即容器内的攻击者获取宿主机权限)在特权容器中更容易发生。因此,除非绝对必要,否则不推荐使用特权容器,而应尽量采用非特权容器并根据需要授予特定权限。在设计和部署容器时,始终需要权衡灵活性、功能需求和安全性。容器以特权方式启动意味着它几乎拥有宿主机上的所有权限,与宿主机上的普通进程几乎没有区别。这与非特权容器形成对比,后者的权限受到限制,以减少潜在的安全风险。
特权容器逃逸
SHELLCODE_8BIT的博客
12-09 663
当我们容器以--privileged启动时,会以特权模式启用,本质上是我们权限扩大了,扩展了我们攻击面,那么特权模式扩展了哪些攻击面呢?
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值