kubernetes--安全上下文(Security Context)

于 2023-02-15 18:25:15 发布
阅读量1w 收藏 6
点赞数 2
分类专栏: kubenetes 文章标签: kubernetes 安全 linux Powered by 金山文档
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_57911290/article/details/129048241
版权

安全上下文(Security Context):

K8s对pod和容器提供的安全机制,可以设置Pod特权和访问控制

安全上下文限制维度:

1.自主访问控制((DiscretionaryAccess Control):

基于用户ID(UID)和组ID(GID),来判定对对象(例如文件)的访问权限

2.安全性增强的Linux(SELinux):

为对象赋予安全性标签

3.以特权模式或者非特权模式运行

4.Linux Capabilities:

为进程赋予root用户的部分特权而非全部特权

5.AppArmor:

定义使用AppArmor限制容器对资源访问限制

6.Seccomp:

定义pod使用Seccomp限制容器进程的系统调用

7. AllowPrivilegeEscalation:

禁止容器中进程(通过 SetUID 或 SetGID 文件模式)获得特权提升。当容器以特权模式运行或者具有CAP_SYS_ADMIN能力时,AllowPrivilegeEscalation总为True。

8. readOnlyRootFilesystem:

以只读方式加载容器的根文件系统。

Linux Capabilities:Capabilities是一个内核级别的权限,它允许对内核调用权 限进行更细粒度的控制,而不是简单地以 root 身份能力授权。 Capabilities 包括更改文件权限、控制网络子系统和执行系统管理等功能。在securityContext 中,可以添加或删除 Capabilities,做到容器精细化权限控制。CAP_可以省略不写

【】capsh --print第一行为当前用户的

capability 名称

描述

CAP_AUDIT_CONTROL

启用和禁用内核审计;改变审计过滤规则;检索审计状态和过滤规则

CAP_AUDIT_READ

允许通过 multicast netlink 套接字读取审计日志

CAP_AUDIT_WRITE

将记录写入内核审计日志

CAP_BLOCK_SUSPEND

使用可以阻止系统挂起的特性

CAP_CHOWN

修改文件所有者的权限

CAP_DAC_OVERRIDE

忽略文件的 DAC 访问限制

CAP_DAC_READ_SEARCH

忽略文件读及目录搜索的 DAC 访问限制

CAP_FOWNER

忽略文件属主 ID 必须和进程用户 ID 相匹配的限制

CAP_FSETID

允许设置文件的 setuid 位

CAP_IPC_LOCK

允许锁定共享内存片段

CAP_IPC_OWNER

忽略 IPC 所有权检查

CAP_KILL

允许对不属于自己的进程发送信号

CAP_LEASE

允许修改文件锁的 FL_LEASE 标志

CAP_LINUX_IMMUTABLE

允许修改文件的 IMMUTABLE 和 APPEND 属性标志

CAP_MAC_ADMIN

允许 MAC 配置或状态更改

CAP_MAC_OVERRIDE

忽略文件的 DAC 访问限制

CAP_MKNOD

允许使用 mknod() 系统调用

CAP_NET_ADMIN

允许执行网络管理任务

CAP_NET_BIND_SERVICE

允许绑定到小于 1024 的端口

CAP_NET_BROADCAST

允许网络广播和多播访问

CAP_NET_RAW

允许使用原始套接字

CAP_SETGID

允许改变进程的 GID

CAP_SETFCAP

允许为文件设置任意的 capabilities

CAP_SETPCAP

参考 capabilities man page

CAP_SETUID

允许改变进程的 UID

CAP_SYS_ADMIN

允许执行系统管理任务,如加载或卸载文件系统、设置磁盘配额等

CAP_SYS_BOOT

允许重新启动系统

CAP_SYS_CHROOT

允许使用 chroot() 系统调用

CAP_SYS_MODULE

允许插入和删除内核模块

CAP_SYS_NICE

允许提升优先级及设置其他进程的优先级

CAP_SYS_PACCT

允许执行进程的 BSD 式审计

CAP_SYS_PTRACE

允许跟踪任何进程

CAP_SYS_RAWIO

允许直接访问 /devport、/dev/mem、/dev/kmem 及原始块设备

CAP_SYS_RESOURCE

忽略资源限制

CAP_SYS_TIME

允许改变系统时钟

CAP_SYS_TTY_CONFIG

允许配置 TTY 设备

CAP_SYSLOG

允许使用 syslog() 系统调用

CAP_WAKE_ALARM

允许触发一些能唤醒系统的东西(比如 CLOCK_BOOTTIME_ALARM 计时器)

案例1:设置容器以普通用户运行

背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。 可以通过两种方法设置普通用户:

1 Dockerfile里使用USER指定运行用户

2 K8s里指定spec.securityContext.runAsUser,指定容器默认用户UID

spec:

securityContext:

runAsUser: 1000 # 镜像里必须有这个用户UID

fsGroup: 1000 # 数据卷挂载后的目录属组设置为该组

containers:

-image: flask-demo:root (镜像自制即可)

name: web

securityContext:

allowPrivilegeEscalation: false # 不允许提权

方法1.Dockerfile

1)可以先注释USER看效果

【】cat /root/flask-demo/Dockerfile

FROM python

RUN useradd python

RUN mkdir /data/www -p

COPY . /data/www

RUN chown -R python /data

RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/&& \

pip install prometheus_client -i https://mirrors.aliyun.com/pypi/simple/

WORKDIR /data/www

#USER python

CMD python main.py

【】docker build -t flask-demo:v1 .

【】docker run -d --name demo-v1 -p 8080:8080 flask-demo:v1

【】docker exec -it demo-v1 bash

在宿主机查看也有该进程且为root

2)以普通账号运行

cat /root/flask-demo/Dockerfile

FROM python

RUN useradd python

RUN mkdir /data/www -p

COPY . /data/www

RUN chown -R python /data

RUN pip install flask -i https://mirrors.aliyun.com/pypi/simple/&& \

pip install prometheus_client -i https://mirrors.aliyun.com/pypi/simple/

WORKDIR /data/www

USER python

CMD python main.py

【】docker build -t flask-demo:v2 .

【】docker run -d --name demo-v2 -p 8081:8080 flask-demo:v1

【】docker exec -it demo-v2 bash

方法2:K8s里指定spec.securityContext.runAsUser,指定容器默认用户UID

【】kubectl create deployment flask-demo --image=nginx --dry-run=client -o yaml >deployment.yaml

【】vim deploymeny.yaml

apiVersion: apps/v1

kind: Deployment

metadata:

labels:

app: flask-demo

name: flask-demo

spec:

replicas: 1

selector:

matchLabels:

app: flask-demo

strategy: {}

template:

metadata:

creationTimestamp: null

labels:

app: flask-demo

spec:

securityContext:

runAsUser: 1000 # 镜像里必须有这个用户UID

fsGroup: 1000 # 数据卷挂载后的目录属组设置为该组

containers:

- image: flask-demo:v1 #上文创建的镜像,默认root权限

name: nginx

resources: {}

nodeName: "k8s-master1"

进入容器查看id

若使用镜像中不存在的用户则会创建一个普通账号

使用v2版镜像,默认以1000用户则不需要设置上下文即可,默认就是用户id为1000

案列2:避免使用特权容器

背景:容器中有些应用程序可能需要访问宿主机设备、修改内核等需求(容器引擎已经组止了,测不出来),在默认情况下,容器没有这个能力,因此此时会考虑给容器是设置特权模式。

启用特权模式:

containers:

- image:flask-demo:root

name:web

securityContext:

privileged: true#启用特权

启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。

Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。

Capabilities包括更改文件权限、控制网络子系统和执行系统管理等功能。在securityContext中,可以添加或删除Capabilities,做到容器精细化控制。

验证mount权限,默认无,截图为示列

【】cat tequan

apiVersion: v1

kind: Pod

metadata:

name: pod-sc1

spec:

containers:

-name: sc

image: busybox

command:

-sleep

-24h

securityContext:

privileged: true

【】kubectl exec -it pod-sc1 sh

示列1:容器默认没有挂载文件系统能力,添加SYS_ADMIN增加这个能力

容器默认无此能力,容器引擎以默认阻止

-t tmpfs 临时文件系统

apiVersion: v1
kind: Pod
metadata:
  name: pod-sc2
spec:
  containers:
  - name: test
    image: busybox
    command:
    - sleep
    -  24h
    securityContext:
      capabilities:
        add: ["SYS_ADMIN"]
       #drop:移除特权,可写all

也有这样用的,删除所有,添加指定项,类似于白名单

案列2:以只读挂载文件系统,防止恶意二进制文件创建

普通容器没限制的话可任意增删改查

apiVersion: v1
kind: Pod
metadata:
  name: Pod-sc3
spec:
  containers:
  - name: test
    image: busybox
    command:
    - sleep
    -  24h
    securityContext:
      readOnlyRootFilesystem: true

启动并进入容器

弓长丿
关注
  • 2
    点赞
  • 6
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 759
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息和相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
Kubernetes【安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 7983
简介 安全上下文Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
非root用户运行容器(K8S SecurityContext
小单的博客专栏
08-04 4841
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
Kubernetes 最佳安全实践指南
小楼一夜听春雨,深巷明朝卖杏花
07-12 1608
在 Kubernetes 中安全地运行工作负载是很困难的,有很多配置都可能会影响到整个 Kubernetes API 的安全性,这需要我们有大量的知识积累来正确的实施。Kubernetes 在安全方面提供了一个强大的工具securityContext,每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种securityContext的配置,探讨它们的含义,以及我们应该如何使用它们。 securityContext设置在PodSpec和ContainerSpec规范中都有定义,...
Kubernetes SecurityContext 安全上下文 特权模式运行pod
小楼一夜听春雨,深巷明朝卖杏花
08-06 6378
使用特权模式运行 pod 有时pod 需要做它们的宿主节点上能够做的任何事,例如操作被保护的系统设备,或使用其他在通常容器中不能使用的内核功能 ,这种 pod 个样例就是 kube-proxy pod ,该 pod需要修改宿主机的 iptables规则来让 kubernetes 中的服务规生效。 使用 kubeadm 部署集群时,你会看到每个节点上都运行了 kube-proxy pod,并且可 以查 YAML描述文件中所有使用到的特殊特性。 [root@k8s-master ~]# ..
SpingSecurity框架重要知识点(理解)
tigerhhzz的博客
05-10 443
一,SpingSecurity本质是一个过滤器链(11个过滤器) 1.HttpSessionContextIntegrationFilter 位于过滤器顶端,第一个起作用的过滤器。 用途一,在执行其他过滤器之前,率先判断用户的session中是否已经存在一个SecurityContext了。如果存在,就把SecurityContext拿出来,放到SecurityContextHolder中,供Spring Security的其他部分使用。如果不存在,就创建一个SecurityContext出来,还是放到Se
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
4. **安全上下文Security Context)**:设置Pod和Container的安全上下文,控制它们的权限、用户ID和组ID,限制文件系统访问权限,以及是否允许使用Privileged模式。 **三、资源限制** 5. **资源配额(Resource ...
k8s-security-demos:几个kubernetes安全功能的演示
02-04
在容器化和云原生应用领域,Kubernetes(k8s)已经成为事实上的标准,而保障Kubernetes集群的安全性是至关重要的。`k8s-security-demos`...对于任何部署在Kubernetes上的应用,理解和应用这些安全机制都是不可或缺的。
spring-framework-5.3.29.tar.gz
08-31
其子类AbstractApplicationContext实现了上下文的功能,提供事件发布、资源加载等功能。 2. 依赖注入(Dependency Injection):在`org.springframework.beans.factory.annotation`包下,有如...
KubernetesK8s、CKS 认证实战班(安全专家)2022版
05-25
7. **安全设置与最佳实践**:了解并实施Kubernetes的安全设置,例如禁用不必要的API服务器端点,限制容器的资源使用,以及使用安全上下文Security Context)来控制Pod的权限。 8. **CKS认证考试内容**:CKS认证...
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
理解如何设置安全上下文Security Context)以控制容器的运行级别和权限。 5. **存储安全性**:探讨Persistent Volumes和Persistent Volume Claims的安全配置,以及加密数据在存储层的安全措施。 6. **审计与日志...
Kubernetes SecurityContext 安全上下文之 容器使用不同用户运行时共享存储卷
小楼一夜听春雨,深巷明朝卖杏花
08-12 1266
容器使用不同用户运行时共享存储卷 使用存储卷在pod的不同容器中共享数据。可以顺利地在一个容器中写入数据,在另 一个容器中读出这些数据。 但这只是因为两个容器都以root用户运行,对存储卷中的所有文件拥有全部权限。 现在假设使用前面介绍的runAsUser选项。你可能需要在一个pod中用两个不同的用户运行两个容器(可能是两个第三方的容器,都以它们自己的特定用户运行进程)。如果这样的两个容器通过存储卷共享文件,它们不一定能够读取或写入另 一个容器的文件。 因此,Kubemetes允许...
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1642
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载和环境进行正确的安全配置。https。
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 2985
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
android readonly file system,安卓ROOT权限下“Read-only file sytem”解决办法
热门推荐
weixin_28803105的博客
05-27 1万+
今天用安卓模拟器:BlueStacks,打开apk终端模拟器:Terminal,在shell操作命令的时候提示“Read-only file sytem”:第一种方法:在 Android 系统中,我们通过 adb 登录到 shell 进行操作时,可能会遇到操作失败并提示 “Read-only file system” 的问题。注意:这里的前提是已经获取到了 root 权限,否则下文的命令不能执行,...
kubernetes安全:RBAC,Security Context,PSP,准入控制器
阿白,
04-29 4405
文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container
Linux中文件的安全上下文
因为觉得还太菜所以暂时不更新
11-04 1260
1、什么是安全上下文 (1)安全上下文是一个简单一致的访问控制属性 (2)特定的文件被特定的程序访问,是访问时的凭证 (3)会关闭系统认为不安全的所有功能 2、程序访问文件时匹配安全上下文 设置: 命令 功能 touch /mnt/abc 在mnt下建立一个新文件案abc mv /mnt/abc /var/ftp 将mnt下的abc移动到/var/ftp中,移动可以保持文件原有...
Kubernetes集群的安全配置
大树叶 技术专栏
11-25 4273
使用kubernetes/cluster/kube-up.sh脚本在装有Ubuntu操作系统的bare metal上搭建的Kubernetes集群并不安全,甚至可以说是“完全不设防的”,这是因为Kubernetes集群的核心组件:kube-apiserver启用了insecure-port。insecure-port背后的api server默认完全信任访问该端口的流量,内部无任何安全机制
k8s 环境搭建
sss996的博客
07-04 8758
安装 k8s在 centos 7 上 直接运行yum -y install etcd kubernetes Kubernetes 依赖 Etcd 服务来维护所有主节点的状态。修改配置文件修改# vim /etc/sysconfig/docker OPTIONS='--selinux-enabled=false --insecure-registry gcr.io' 修改 k8s apiserver...
"message": "services \"kubernetes-dashboard\" not found",
最新发布
12-10
这个报错通常是由于Kubernetes Dashboard服务没有正确安装或者没有在正确的命名空间中导致的。您可以按照以下步骤来解决这个问题: 1. 确认Kubernetes Dashboard服务已经正确安装并且正在运行。您可以使用以下命令来检查: ```shell kubectl get pods -n kube-system ``` 如果您看到一个名为"kubernetes-dashboard"的Pod正在运行,则服务已经正确安装并且正在运行。 2. 确认您正在使用正确的命名空间。默认情况下,Kubernetes Dashboard服务应该在"kube-system"命名空间中运行。您可以使用以下命令来检查: ```shell kubectl config get-contexts ``` 如果您看到当前上下文的命名空间为"kube-system",则您正在使用正确的命名空间。 3. 如果服务已经正确安装并且正在运行,您可以尝试删除并重新创建Kubernetes Dashboard服务。您可以使用以下命令来删除服务: ```shell kubectl delete service kubernetes-dashboard -n kube-system ``` 然后,您可以使用以下命令来重新创建服务: ```shell kubectl apply -f https://raw.githubusercontent.com/kubernetes/dashboard/v2.0.0-beta8/aio/deploy/recommended.yaml ``` 这将重新创建Kubernetes Dashboard服务并将其部署到正确的命名空间中。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值