Kubernetes 容器安全 最小特权原则POLP AppArmor限制容器对资源访问

最新推荐文章于 2024-08-08 17:15:43 发布
最新推荐文章于 2024-08-08 17:15:43 发布
阅读量855 收藏 2
点赞数
分类专栏: Kubernetes 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/118438297
版权

最小特权原则(POLP)

最小特权原则 (Principle of least privilege,POLP) :是一种信息安全概念,即为用户提供执行其工作职责所需的最小权限等级或许可。

最小特权原则被广泛认为是网络安全的最佳实践,也是保护高价值数据和资产的特权访问的基本方式。

最小特权原则 (POLP) 重要性

减少网络攻击面: 当今,大多数高级攻击都依赖于利用特权凭证(提权)。通过限制超级用户和管理员权限,最小权限执行有助于减少总体网络攻击面。
阻止恶意软件的传播: 通过在服务器或者在应用系统上执行最小权限,恶意软件攻击(例如SQL注入攻击)将很难提权来增加访问权限并横向移动破坏其他软件、设备。
有助于简化合规性和审核 :许多内部政策和法规要求都要求组织对特权帐户实施最小权限原则,以防止对关键业务系统的恶意破坏。最小权限执行可以帮助组织证明对特权活动的完整审核跟踪的合规性。

在团队中实施最小特权原则 (POLP) 

• 在所有服务器、业务系统中,审核整个环境以查找特权帐户(例如SSH账号、管理后台账号、跳板机账号);

• 减少不必要的管理员权限,并确保所有用户和工具执行工作时所需的权限;
• 定期更改管理员账号密码;
• 监控管理员账号操作行为,告警通知异常活动。

AppArmor限制容器对资源访问

AppArmor(Application Armor) 是一个 Linux 内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特定功能,例如网络访问、文件读/写/执行权限等。

Linux发行版内置:Ubuntu、Debian

Apparmor两种工作模式

• Enforcement(强制模式) :在这种模式下,配置文件里列出的限制条件都会得到执行,并且对于违反这些限制条件的程序会进行日志记录。

• Complain(投诉模式):在这种模式下,配置文件里的限制条件不会得到执行,Apparmor只是对程序的行为进行记录。一般用于调试。

AppArmor限制容器对资源访问

安全策略是基于文件去设置的,配置了配置文件之后还需要去加载一下
常用命令:
• apparmor_status:查看AppArmor配置文件的当前状态的
• apparmor_parser:将AppArmor配置文件加载到内核中
• apparmor_parser <profile># 加载到内核中
• apparmor_parser -r <profile># 重新加载配置
• apparmor_parser -R <profile># 删除配置
• aa-complain:将AppArmor配置文件设置为投诉模式,需要安装apparmor-utils软件包
• aa-enforce:将AppArmor配置文件设置为强制模式,需要安装apparmor-utils软件包

K8s使用AppArmor的先决条件:
• K8s版本v1.4+,检查是否支持:kubectl describe node |grep AppArmor
• Linux内核已启用AppArmor,查看 cat /sys/module/apparmor/parameters/enabled
• 容器运行时需要支持AppArmor,目前Docker已支持 
root@k8s-master:~# kubectl describe node | grep AppAr
  Ready                True    Sat, 03 Jul 2021 12:31:43 +0800   Sat, 05 Jun 2021 23:41:25 +0800   KubeletReady                 kubelet is posting ready status. AppArmor enabled


root@k8s-master:~# cat /sys/module/apparmor/parameters/enabled
Y

 AppArmor 目前处于测试阶段,因此在注解中指定AppArmor策略配置文件。

示例:
apiVersion: v1
kind: Pod
metadata:
  name: hello-apparmor
  annotations:
    container.apparmor.security.beta.kubernetes.io/<container_name>: localhost/<profile_ref>
...
• <container_name> Pod中容器名称,也就是对哪个容器生效
• <profile_ref> Pod所在宿主机上策略名,默认目录/etc/apparmor.d,策略名字是想要手动去创建配置文件的

如果想要pod使用 apparmor,限制对容器的哪些资源操作,就需要去声明一下让容器使用apparmor,否则默认情况下是不具有这种能力的。

An introduction to AppArmor Profiles

An apparmor profile defines what resources (like network, system capabilities, or files) on the system can be accessed by the target confined application.

Here’s an example of a simple AppArmor profile:

profile k8s-apparmor-example-deny-write flags=(attach_disconnected) {
  file,
  # Deny all file writes.
  deny /** w,
}

In this example, the profile grants the application all kinds of access, except write to the entire file system. It contains two rules:

  • file: Allows all kinds of access to the entire file system.
  • deny /** w: Denies any file write under the root / directory. The expression /** translates to any file under the root directory, as well as those under its subdirectories.

 Setting up a Kubernetes cluster so containers can use apparmor profiles is done with the following steps:

  1. Install and enable AppArmor on all of the cluster nodes.
  2. Copy the apparmor profile you want to use to every node, and parse it into either enforce mode or complain mode.
  3. Annotate the container workload with the AppArmor profile name.

Here is how you would use a profile in a Pod:

apiVersion: v1
kind: Pod
metadata:
  name: hello-apparmor
  annotations:
    # Tell Kubernetes to apply the AppArmor profile "k8s-apparmor-example-deny-write".
    container.apparmor.security.beta.kubernetes.io/hello: localhost/k8s-apparmor-example-deny-write
spec:
  containers:
  - name: hello
    image: busybox
    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]

In the pod yaml above, the container named hello is using the AppArmor profile named k8s-apparmor-example-deny-write. If the AppArmor profile does not exist, the pod will fail to be created.

Each profile can be run in either enforce mode, which blocks access to disallowed resources, or complain mode, which only reports violations. After building an AppArmor profile, it is good practice to apply it with the complain mode first and let the workload run for a while. By analyzing the AppArmor log, you can detect and fix any false positive activities. Once you are confident enough, you can turn the profile to enforce mode.

If the previous profile runs in enforce mode, it will block any file write activities:

$ kubectl exec hello-apparmor touch /tmp/test
touch: /tmp/test: Permission denied
error: error executing remote command: command terminated with non-zero exit code: Error executing in Docker Container:

This was a simplified example. Now, think of the challenges of implementing AppArmor in production.

First, you will have to build robust profiles for each of your containers to prevent attacks without blocking daily tasks.

Then, you will have to manage several profiles across all the nodes in your cluster.

案例:容器文件系统访问限制

容器当中跑着我们的应用程序,想要对文件系统最小权限的访问,默认情况下对容器环境下的文件系统有任何的访问权限。如果黑客进入到你的容器当中,可能想方设法的去提取权限。提权到宿主机上面去。最小权限的目的是为了即使黑客进入到容器他的权限也是非常有限的。可能是很多文件都不能访问,很多的工具都不能使用。

步骤:

1、将自定义策略配置文件保存到/etc/apparmor.d/
2、加载配置文件到内核:apparmor_parser <profile>
3、Pod注解指定策略配置名
在pod所在节点上将策略给创建,因为不确定pod会被分配在哪些节点,所以所有的节点都需要创建策略文件,可以使用ansible工具去创建。 
#include <tunables/global>
profile k8s-deny-write flags=(attach_disconnected) {
  include <abstractions/base>
  file, 
  deny /bin/** w, 
  deny /data/www/** w,
}


#include <tunables/global>   导入依赖,是linux的内核模块,遵循c语言的语法,格式固定
profile k8s-deny-write flags=(attach_disconnected)  策略名字为k8s-deny-write,这个是需要自己写
include <abstractions/base>   c语言导入的依赖,格式固定


注意,如果策略里面什么都不写就是拒绝一切行为,你在策略里面添加的东西相对于白名单,就是放行

测试,默认策略,里面什么都不写

root@k8s-master:~# cd /etc/apparmor.d/
root@k8s-master:/etc/apparmor.d# cat k8s-deny-write 
#include <tunables/global>
profile k8s-deny-write flags=(attach_disconnected) {
  #include <abstractions/base>
  #file,  
  #deny /bin/** w, 
  #deny /data/www/** w,
}


#让这个文件生效一下
root@k8s-master:/etc/apparmor.d# apparmor_parser -r k8s-deny-write 

#显示加载成功
root@k8s-master:/etc/apparmor.d# apparmor_status | grep k8s
   k8s-deny-write
container.apparmor.security.beta.kubernetes.io/hello   hello是指定了容器的名称

apiVersion: v1
kind: Pod
metadata:
  name: hello-apparmor
  annotations:
    container.apparmor.security.beta.kubernetes.io/hello: localhost/k8s-deny-write
spec:
  containers:
  - name: hello
    image: busybox
    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]


使用默认的策略创建后的pod,进入里面会发现使用touch会提示没有权限,在使用默认策略的时候都是拒绝的行为,这个就相对于白名单,往里面加什么就是要放行什么
root@k8s-master:/etc/apparmor.d# cat k8s-deny-write 
#include <tunables/global>
profile k8s-deny-write flags=(attach_disconnected) {
  #include <abstractions/base>
  file,    #允许所有文件读写,创建和查看文件都有
  deny /bin/** w, #控制某个目录进行读写,这边一般都放可执行的程序
}

这里都是先放行所有的文件,然后针对具体的目录去限制

修改之后不需要重启容器,只需要使用-r生效一下即可

工作流程

当去写pod的yaml的时候,要去注解里面去指定你要使用的AppArmor的容器名称和策略名称,pod会被调度到某个节点上面,这个节点就会去读取AppArmor的配置文件,然后对pod当中容器应用上。

富士康质检员张全蛋
关注
专栏目录
kubernetes--AppArmor限制容器资源访问
m0_57911290的博客
01-16 8720
AppArmor(ApplicationArmor)是一个Linux内核安全模块,可用于限制主机操作系统上运行的进程的功能。每个进程都可以拥有自己的安全配置文件。安全配置文件用来允许或禁止特点功能,例如网络访问、文件读/写/执行权限等linux发行版内置:Ubuntu、Debian 在cents中是selinux,相比于linux更易于使用。
Kubernetes priviledge and capabilities
weixin_33841503的博客
07-05 182
請問一下目前 阿里雲的 kubernetes 是否能夠設置 docker container 的 capabilities, 目前測試從阿里雲的 UI 直接編輯 容器組的 yaml 檔無法完成更新 securityContext: capabilities: add: - NET_ADMIN ...
云计算-k8s中pod安全加固
最新发布
cnzzs的博客
08-08 240
总结了自己工作中常用k8s的pod 安全加固的配置securityContext在编写K8s工作负载清单时,无论是pod对象还是部署daemonset之类的更高级别的东西,清单中都有一个名为securityContext的部分,允许您指定应该应用于工作负载的安全参数。runAsUser, runAsGroup默认情况下,D...
K8S学习笔记之最小控制单元Pod (二)
AlgebraFly的博客
07-06 347
K8S学习笔记之最小控制单元Pod (二)续集
kubernetes session保持等设置
热门推荐
bingzhilingyi的博客
04-09 1万+
session保持 如何在service内部实现session保持呢?当然是在service的yaml里进行设置啦。 在service的yaml的sepc里加入以下代码: sessionAffinity: ClientIP sessionAffinityConfig: clientIP: timeoutSeconds: 10800 这样就开启了session保持。下...
容器安全 - 利用容器特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)
多恩斯基的博客
10-19 1209
本文将演示如何利用在 Kubernetes容器的 privileged、hostpath、hostpid、hostipc、hostnetwork 配置实现对容器或宿主机的攻击,包括获得敏感数据、杀掉关键进程等。
安全沙箱技术赋能企业转型,提效200%!
m0_72622669的博客
12-01 406
几年来,零信任(ZeroTrust,ZT)成为网络安全领域的一个热点话题,甚至被很多人视为网络安全领域的“压倒性”技术趋势。零信任是一种设计安全防护架构的方法,它的核心思路是:默认情况下,所有交互都是不可信的。这与传统的架构相反,后者可能会根据通信是否始于防火墙内部来判断是否可信。在企业安全建设中,零信任是必须经历的安全防护体系技术革新,但它必然要经历一个长期探索实践的过程。从本质上讲简而言之,零信任的原则就是“在经过验证之前不要信任任何人。”
零信任的原则就是“在经过验证之前不要信任任何人。”
Lydiasq的博客
10-27 424
零信任最初是Forrester Research分析师John Kindervag于2010年提出,他认为所有的网络流量都必须是不可信的。在传统的 IT 安全模型中,一个组织的安全防护像是一座城堡,由一条代表网络的护城河守护着。在这样的设置中,很难从网络外部访问组织的资源。同时,默认情况下,网络内的每个人都被认为是可信的。然而,这种方法的问题在于,一旦攻击者获得对网络的访问权,并因此默认受到信任,那么组织的所有资源都面临着被攻击的风险。
Kubernetes的现代操作系统。-Golang开发
05-26
一些是:安全性:通过实践最低特权原则PoLP)并强制执行相互TLS(mTLS)来减少攻击面。 可预测性:使用不变的基础架构,删除不必要的变量并减少环境中的未知因素。 演化能力:简化并增强您轻松适应未来变化的能力
常见而又容易被中小企业忽视的六个网络安全漏洞
jeffreyzhong的博客
11-10 2049
不仅仅是对于大型知名企业,对于各种规模的公司来说,网络安全都同样是一个关键的业务问题,如果发生安全漏洞,其品牌可能会受到严重打击。事实上,网络攻击者知道中小型企业是最脆弱的,不幸的是,损害不仅仅是损害中小企业的声誉,它可以让它完全破产。
【ROS2原理16】SROS 2 访问控制策略
gongdiwudu的专栏
08-21 6181
SROS 2 引入了几个安全属性,包括加密、身份验证和授权。授权是通过将前两个属性与访问控制模型相结合来获得的。这种模型通常被称为访问控制策略。策略充当与属性相关联的特权的高级抽象,然后可以将其转换为个人身份的低级权限,例如安全 DDS 网络中的特定 ROS 节点。
linux权限最小化分级,vim可视化&Linux系统安全最小原则& su & sudo
weixin_36215736的博客
04-29 566
一、vim在可视化模式下编辑crl+v,会变成-- VISUAL BLOCK --,然后用上下左右键去选中.多行注释:ESC进入命令行模式;Ctrl+v进入VISUAL BLOCK模式上下左右键调整需要注释多少行;Shift+i即大写I或s进入插入模式,输入注释的符号,比如#;再按两下ESC键,这时就可完成多行注释,命令行模式下,输入:首行号,尾行号s/^/字符/g,实现批量插入字符.如:2,7s...
k8s安全07--使用AppArmor限制容器访问资源
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-21 1717
k8s安全07--使用AppArmor限制容器访问资源1 介绍2 操作案例2.1 apparmor 基础命令2.2 通过AppArmor 限制pod访问资源3 注意事项4 说明 1 介绍 AppArmor is a kernel enhancement to confine programs to a limited set of resources. AppArmor’s unique security model is to bind access control attributes to prog
Command Ld failed with a nonzero exit code
weixin_42613018的博客
01-14 1436
"Command Ld" 失败并返回非零退出代码意味着程序在链接 (link) 阶段出现了问题。这可能是由于缺少依赖库、链接错误或其他原因导致的。建议检查错误日志并进一步调试来确定问题的根本原因。 ...
CVE-2022-0492:权限提升漏洞导致容器逃逸
u012516914的专栏
04-16 2935
Linux 维护人员披露了 Linux 内核中的一个权限提升漏洞。该漏洞的常见漏洞和暴露 ID 为CVE-2022-0492,被评为高 (7.0) 严重性。该漏洞出现在允许攻击者逃离容器环境并提升权限的 cgroups 中。易受攻击的代码位于 Linux Kernel 的kernel /cgroup/cgroup-v1.c函数中的cgroup_release_agent_...
SEAndroid策略
移动编程
05-21 645
基础知识 SEAndroid在架构和机制上与SELinux完全一样,考虑到移动设备的特点,所以移植到SEAndroid的只是SELinux的一个子集。SEAndroid的安全检查覆盖了所有重要的方面包括了域转换、类型转换、进程相关操作、内核相关操作、文件目录相关操作、文件系统相关操作、对设备相关操作、对app相关操作、对网络相关操作、对IPC相关操作。 Policy po...
linux安全策略加固文档_Linux 下selinux和AppArmor安全策略初探
weixin_31898831的博客
12-25 458
前言:SELinux(Secure Enhanced Linux)和AppArmor同样都是内核级别的安全机制,集成于内核中,两者的不同是SELinux使用文件的inode作为安全标签,而AppArmor使用路径名作为安全标签今天就为大家分享一下这两种安全机制,虽说分享,其实也只是初探(只是皮毛),因为在平时使用中,我一般也是关闭这个安全机制。一,先来介绍selinux和AppArmor...
SELinux refpolicy详解(13)
phmatthaus的专栏
12-06 1122
SELinux refpolicy详解(13)
Linux Security Framework -- Apparmor机制介绍
少帅的天空
09-05 1万+
AppArmor 是一个类似于selinux 的东东,主要的作用是设置某个可执行程序的访问控制权限,可以限制程序 读/写某个目录/文件,打开/读/写网络端口等等。     Novell给出的Apparmor的解释: AppArmor is designed to provide easy-to-use application security for both
svn服务器搭建和使用:Custom action GenerateSSLKey failed: Command terminated with non-zero exit code
幻想无价值!
08-23 9933
安装VisualSVN-Server的时候next提示:Custom action GenerateSSLKey failed: Command terminated with non-zero exit code.
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值