kubernetes--AppArmor限制容器对资源访问

已于 2023-01-16 16:29:32 修改
阅读量8.5k 收藏 1
点赞数
分类专栏: kubenetes 文章标签: docker 容器 运维 kubernetes 云原生 Powered by 金山文档
于 2023-01-16 16:16:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/128705643
版权

介绍

AppArmor(ApplicationArmor)是一个Linux内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特点功能,例如网络访问、文件读/写/执行权限等

linux发行版内置:Ubuntu、Debian 在cents中是selinux,相比于linux更易于使用

工作流程

1、创建一个pod在注解里指定apparmor的profile

2、文件在对应宿主机上,对应宿主机的kubelet读取对应配置

3、如果pod的请求profile里拒绝,则pod没有权限

AppArmor两种工作模式

Enforcement(强制模式):在这种模式下,配置文件里列出的限制条件都会得到执行,并且对于违反这些挟制条件的程序会进行日志记录

Complain(投诉模式):在这种模式下,配置文件里的限制条件不会得到执行,Apparmor只是对程序的行为进行记录一般用于调试

常用命令:

apparmor_status: 查看AppArmor配置文件的当前状态的

apparmor_parser:将AppArmor配置文件加载到内核中

apparmor_parser<profile> #加载到内核中

apparmor_parser-r <profile> #重新加载配置

apparmor_parser-R <profile> #删除配置

aa_complaij:将AppArmor配置文件设置为投诉模式,需要安装apparmor-utils软件包

aa-enforce:将AppArmor配置文件设置为强制模式,需要安装apparmor-utils软件包

K8s使用APPArmor的先决条件:

系统ubentu内置 centos不内置 做此实验用ubentu

K8s版本v1.4+,检查是否支持:kubectl describe node |grep AppArmor

Linux内核已启用AppArmor,查看cat /sys/module/apparmor/parameters/enabled

容器运行时需要支持AppArmor,目前Docker已支持

apiVersion: v1
kind: Pod
metadata:
  name: hello-apparmor
  annotations:
    # 告知 Kubernetes 去应用 AppArmor 配置 "k8s-apparmor-example-deny-write"。
    # 请注意,如果节点上运行的 Kubernetes 不是 1.4 或更高版本,此注解将被忽略。
    container.apparmor.security.beta.kubernetes.io/hello: localhost/k8s-apparmor-example-deny-write
spec:
  containers:
  - name: hello
    image: busybox:1.28
    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]

container.apparmor.security.beta.kubernetes.io/<container_name>: <profile_ref>

<container_name> 的名称是配置文件所针对的容器的名称,<profile_def> 则设置要应用的配置文件。 <profile_ref> 可以是以下取值之一:

  • runtime/default 应用运行时的默认配置

  • localhost/<profile_name> 应用在主机上加载的名为 <profile_name> 的配置文件

  • unconfined 表示不加载配置文件

<profile_ref>

#<container_name>Pod中容器名

#<profile_ref>pod所在宿主机上策略名,默认目录/etc/apparmor.d

访问文件权限模式

字符

描述

r

w

a

追加

k

文件加锁

l

链接

x

可执行

通配符

描述

示列

*

在目录级别匹配零个或多个字符

/dir/* 匹配目录中的任何文件

/dir/a* 匹配目录中以a开头的任意文件

/dir/*.png 匹配目录中以.png结尾的任意文 件

/dir/a*/ 匹配/dir里面以a开头的目录

/dir/*a/ 匹配/dir里面以a结尾的目录

**

在多个目录级别匹配零个或多个字符

/dir/** 匹配/dir目录或者/dir目录下任何文件 和目录 /dir/**/ 匹配/dir或者/dir下面任何目录

[] [^]

字符串,匹配其中任意字符

/dir/[^.]* 匹配/dir目录中以.之外的任何文件 /dir/**[^/] 匹配/dir目录或者/dir下面的任何 目录中的任何文件

案列:容器文件系统访问限制

步骤

1、将自定义策略配置文件保存到/etc/apparmor.d/修改文件即时生效

2、加载配置文件到内核:apparmor_parser<profile>

3、pod注解指定策略配置名

1.自定义配置文件及对应说明

vi /etc/apparmor.d/k8s-deny-write
#include <tunables/global>

profile k8s-apparmor-example-deny-write flags=(attach_disconnected) {
  #include <abstractions/base>

  file,

  # 拒绝所有文件写入,拒绝指定文件或者目录 deny /data/* w
  deny /** w,
}
#第一行:导入依赖,遵循c语言约定
#第二行:指定策略名
#第三行:{}策略块

2.加载至内核

【】cd /etc/apparmor.d/

【】apparmor_parser -r k8s-deny-write

【】apparmor_status |grep k8s

3、pod注解指定策略配置名并测试

【】kubectl apply -f apparmor.yaml#在上文

【】kubectl exec -it hello-apparmor bash

【】mkdir /test

4、创建其他pod可进行正常创建等行为

【】kubectl create deployment web --image=nginx-n zn

【】kubectl exec -it -n zn web-8667899c97-4s52r

【】mkdir /tmp/123

【】touch test

弓长丿
关注
  • 0
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Certified-Kubernetes-Security-Specialist:精选的资源可帮助您准备CNCFLinux Foundation CKS 2021“ Kubernetes认证的安全专家”认证考试。 请提出问题或提出要求,以提供反馈或要求。 欢迎提供改进的所有反馈。 谢谢
02-04
Certified-Kubernetes-Security-Specialist:精选的资源可帮助您准备CNCFLinux Foundation CKS 2021“ Kubernetes认证的安全专家”认证考试。 请提出问题或提出要求,以提供反馈或要求。 欢迎提供改进的所有反馈。 谢谢
docker-sec:Docker容器的自动AppArmor管理
05-09
泊坞窗 Docker容器的自动AppArmor管理 用法 要使用docker-sec,只需通过添加后缀-sec即可使用docker命令。 例如,要启动新容器,请运行以下命令: docker-sec run --name safe-nginx -p 80:80 nginx 要使用docker-sec用户的个人档案培训功能,可以执行以下操作: docker-sec train-stop safe-nginx # browse nginx pages... docker-sec train-stop safe-nginx 安装 要安装docker-sec,首先必须安装并启用AppArmor。 另外,必须在系统中安装auditd。 对于基于Debian的系统,请运行: sudo apt-get install auditd audispd-plugins 下一步,从github克隆doc
kube-flannel.yml
01-21
kube-flannel.yml 适用于 kubernetes 1.15.1 --- apiVersion: policy/v1beta1 kind: PodSecurityPolicy metadata: name: psp.flannel.unprivileged annotations: seccomp.security.alpha.kubernetes.io/allowedProfileNames: docker/default seccomp.security.alpha.kubernetes.io/defaultProfileName: docker/default apparmor.security.beta.kubernetes.io/allowedProfileNames: runtime/default apparmor.security.beta.kubernetes.io/defaultProfileName: runtime/default spec: privileged: false volumes: - configMap - secret - emptyDir - hostPath allowedHostPaths: - pathPrefix: "/etc/cni/net.d" - pathPrefix: "/etc/kube-flannel" - pathPrefix: "/run/flannel" readOnlyRootFilesystem: false # Users and groups runAsUser: rule: RunAsAny supplementalGroups:
apparmor配置文件:某些应用程序的AppArmor安全配置文件
02-06
apparmor配置文件:某些应用程序的AppArmor安全配置文件
psp-apparmor:Kubewarden Pod安全策略,用于控制AppArmor配置文件的使用
04-02
持续集成 执照 该Kubewarden策略替代了控制使用情况的Kubernetes Pod安全策略。 政策如何运作 该策略通过定义允许的AppArmor配置文件的白名单来起作用。 然后在创建和更新时检查Pod,以确保仅使用批准的Profile。 如果未定义AppArmor配置文件,Kubernetes将把最终选择权留给基础容器运行时。 这将导致使用Container Runtime提供的默认AppArmor配置文件。 因此,此策略的默认行为是接受未指定AppArmor配置文件的工作负载。 配置 可以使用以下数据结构配置该策略: # list of allowed profiles allowed_profiles : - runtime/default - localhost/my-special-workload 例子 不允许unconfined工作负载 使用unconfined配
【Linux】apparmor小记
zclinux的博客
10-09 1294
这是一个linux的内核安全模块,是一个MAC(强制控制存取)系统,和Selinux类似的一种访问控制系统,每个进程都可以相应的有自己的安全配置文件,这文件里面用来指定允许或者禁止某种功能,例如网络端口、访问、文件相关的读写以及执行等,比如linux发行版unbuntu、debian等都是内置的。能限制程序在一组有限的资源,那就能限制容器资源访问需要安装软件包。
Linux安全模块AppArmor总结
yolo_yyh的博客
11-24 4563
Linux的安全模块,除了SELinux还有AppArmor,AppArmor相对来说要简单很多,多用于Ubuntu系统,这篇文章带大家了解AppArmor的策略。
k8s进阶5——AppArmor、Seccomp、ImagePolicyWebhook
百慕卿君博客
05-25 1565
1、AppArmor限制容器资源访问实战。 2、Seccomp限制容器进程系统调用实战,分别基于自定义策略和容器运行时默认策略。 3、ImagePolicyWebhook控制器实战
二十五、K8s系统强化1- 系统安全与apparmor
tushanpeipei的博客
12-13 3331
使用apparmor保护K8s集群
kubernetes apparmor 简介
爱死亡机器人
08-08 425
AppArmor是类似于 Linux 的安全系统的强制访问控制 (MAC)。AppArmor 将单个程序限制在一组文件、功能、网络访问限制中,统称为程序的 AppArmor 策略,或简称为配置文件。无需重新启动即可将新的或修改的策略应用于正在运行的系统。AppArmor 旨在通过以管理员友好的语言呈现其配置文件,使其易于理解和用于大多数常见需求。AppArmor 的限制是有选择性的,因此系统上的某些程序可能会受到限制,而其他程序则不会。...
apparmor-docker
05-28
在主机上加载DockerAppArmor配置文件 用法: docker run -v /sys/kernel/security:/sys/kernel/security --privileged --rm -t ewindisch/apparmor 内核配置 机器必须具有可用并已配置AppArmor模块。 主机上不需要AppArmor用户空间。 对于某些发行版,可能需要以下内核命令行: apparmor=1 security=apparmor 有关启用AppArmor的信息,请参阅发行版的文档。
bane:用于Docker容器的自定义和更好的AppArmor配置文件生成器
01-30
祸根 用于Docker容器AppArmor配置文件生成器。 基本上,比手动创建一个更好的AppArmor配置文件,因为谁会这样做。 “审查AppArmor配置文件请求请求是我生存的祸根” 杰西·弗雷泽(Jess Frazelle) 目录安装二进制...
k8s安全07--使用AppArmor限制容器访问资源
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-21 1651
k8s安全07--使用AppArmor限制容器访问资源1 介绍2 操作案例2.1 apparmor 基础命令2.2 通过AppArmor 限制pod访问资源3 注意事项4 说明 1 介绍 AppArmor is a kernel enhancement to confine programs to a limited set of resources. AppArmor’s unique security model is to bind access control attributes to prog
AppArmor配置(二)
WUWEIWUYU的专栏
02-10 3007
AppArmor 是一个实施了基于名称强制存取控制的Linux安全模组。AppArmor 界定了单个程序进入一组文件列表的权限并遵循posix 1003.1e 草稿的能力。 默认情况下AppArmor已安装并载入。它使用每个程序的profiles来确定这个程序需要什么文件和权限。有些包会安装它们自己的profiles,额外的profiles可以在apparmor-profiles包里找到。 要安装...
使用apparmor限制和允许程序的行为
Linux内核研究者
03-10 267
使用apparmor限制和允许程序的行为
apparmor_如何在Ubuntu上创建AppArmor配置文件以锁定程序
culintai3473的博客
09-02 718
apparmorAppArmor locks down programs on your Ubuntu system, allowing them only the permissions they require in normal use – particularly useful for server software that may become compromised. AppArmo...
云原生|kubernetes|apparmor的配置和使用
zsk_john的技术分享专用博客
01-12 2111
AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。
docker运行报错docker: Error response from daemon: AppArmor enabled on system but the docker-default prof
最新发布
weixin_44477424的博客
08-12 1415
AppArmor(Application Armor)是Linux上的一个安全模块,用于限制进程的权限和行为。它通过定义访问控制规则来保护系统中的应用程序免受潜在的安全威胁。我们卸载掉了AppArmor之后,可能会有些安全问题,但不影响docker正常的调试使用。直接通过指令把apparmor卸载掉,简单粗暴。卸载之后,运行docker即正常运行。安装完docker之后,运行报错。
安装calico的时候报 “apparmor_parser“: executable file not found in $PATH
javascript_good的博客
05-30 355
查了很久,网上说是apparmor开启了,只要关闭就行,cat /sys/module/apparmor/parameters/enabled发现是Y,就表示以开启,要把这个改成N,但是这个是只读文件,就算修改了权限也无法修改,这个方法只能放弃。最后发现是Containerd默认回去检测/sys/module/apparmor/parameters/enabled这个文件的值,如果是Y就会去启动apparmor他,但是启动的时候又找不到路径,所以报错了。添加之后重启containerd。
Synchronizing state of apparmor.service with SysV service script with /lib/systemd/systemd-sysv-install. Executing: /lib/systemd/systemd-sysv-install enable apparmor
06-11
这不是一个问题,而是一个系统日志记录。它表示系统正在尝试使用 Systemd 来启用 AppArmor 服务,并将其与 SysV 服务脚本同步。执行的命令是 /lib/systemd/systemd-sysv-install enable apparmor。这是为了确保 AppArmor 服务在系统启动时自动启用。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值