Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行

已于 2023-08-09 16:31:00 修改
阅读量8.5k 收藏 7
点赞数 4
分类专栏: Kubernetes 安全 文章标签: kubernetes
于 2021-08-05 22:21:42 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_34556414/article/details/119426755
版权
本文介绍了如何在 Kubernetes 中通过安全上下文(securityContext)配置 pod 和容器的安全特性,包括指定运行用户、阻止以 root 用户运行以及限制内核访问权限。示例展示了如何创建使用非 root 用户运行的 pod,并演示了防止恶意镜像导致的安全风险。
摘要由CSDN通过智能技术生成

配置节点的安全上下文

除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。

了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事

  • 指定容器中运行进程的用户(用户ID )。
  • 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行
  • 使用特权模式运行容器,使其对宿主节点的内核具有完全的访问权限
  • 与以上相反,通过添加或禁用内核功能,配置细粒度的内核访问权限。
  • SELinux C Security aced Linux 安全增强型 Linux )边项,加强对容器的限制。
  • 阻止进程写入容器的根文件系统
以下内容将开始探索这些边项的细节

运行 pod 而不配置安全上下文

首先,运行 个没有任何安全上下文配置的 pod (不指定任何安全上下文选项),与配置了安全上下文的 pod 形成对照: 
$ kuhectl run pod-with-defaults --image alpine --restart Never  -- /bin/sleep 999999 
pod "pod-with defaults” created
来看一看这个容器中的用户 ID 和组 ID ,以及它所属的用户组 这可以通过在容器中运行 id 命令查看 
$ kuhectl exec pod-with-defaults id 
uid;Q(root) gid;Q(root) groups;Q(root), l(b n), 2 (daemon), 3 (sys) , 4 (adrn) , 
6 (disk ),工 (wheel), 11 (floppy), 20 (dialout), 26 (tape), 27 (v deo)

[root@k8s-master ~]# kubectl get pod
NAME                     READY   STATUS              RESTARTS   AGE
nginx-6799fc88d8-drb2s   1/1     Running             3          263d

[root@k8s-master ~]# kubectl exec -it nginx-6799fc88d8-drb2s bash
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
root@nginx-6799fc88d8-drb2s:/# id
uid=0(root) gid=0(root) groups=0(root)
root@nginx-6799fc88d8-drb2s:/#
这个容器在用户 ID (uid )为 的用 户,即 root ,用户组 ID (gid )为 (同 样是 root )的用户组下运行 它同样还属于 一些其 他的用户组。
注意 : 容器运行时使用的用户在镜像中指定 Dockerfile 中,这是通过使用USER 命令实现的,如果该命令被省略,容器将使用 root用户运行。
现在来运行个使用特定用 户运行容器的 pod。

使用指定用户运行容器

为了使用 个与 镜像中不同的用户 ID 来运行pod 需要 设置该 pod securityContext.runAsUser 选项
可以通过以下代码 清单来运行一 个使用 guest 用户运行的容器,该用户在 a lpine 镜像中的用户 ID
405 
[root@k8s-master ~]# cat test.yaml 
apiVersion: v1 
kind: Pod 
metadata: 
  name: pod-as-user-guest 
spec: 
  containers: 
  - name: main
    image: alpine 
    command: ["/bin/sleep","99999"] 
    securityContext: 
      runAsUser: 405

 注意:你需要指定用户ID,而不是用户名,id 405 guest 用户

现在可以像之前 样在 pod 中运行 id 命令, 查看 runAsUser 选项的效果:

[root@k8s-master ~]# kubectl get pod
NAME                     READY   STATUS              RESTARTS   AGE
pod-as-user-guest        1/1     Running             0          63s

[root@k8s-master ~]# kubectl exec -it pod-as-user-guest sh
kubectl exec [POD] [COMMAND] is DEPRECATED and will be removed in a future version. Use kubectl exec [POD] -- [COMMAND] instead.
/ $ id 
uid=405(guest) gid=100(users)

 与要求的样,该容器在 guest 用户下运行。

阻止容器以 root 用户运行

如果你不关心容器是哪个用户运行的,只是希望阻止以 root 用户运行呢?

假设有一个己经部署好的 pod ,它使用 Dock file  使用 USER daemon命令制作的镜像,使其在 daemon 用户下运行, 如果攻击者获取了访问镜像仓库的权限,并上传了 个标签完全相同,在 root 用户下运行的镜像,会发生什么?
当 Kubernetes 的调度器运行该 pod 新实例时, kubelet 会下载攻击者的镜像,并运行该镜像中的任何代码。
虽然容器与宿主节点基本上是隔离的,使用 root 用户运行容器中的进程仍然是一种不好的实践, 例如,当宿主节点上的 个目录被挂载到容器中时,如果这个容器中的进程使用了 root 用户运行, 它就拥有该目录的完整访问权限,如果用非 root用户运行,则没有完整权限。
为了防止以上的攻击场景发生,可以进行配置,使得 pod 中的容器以非 root户运行, 如以下的代码清单所示:( 阻止容器使用 root 用户运行 
[root@k8s-master ~]# cat test.yaml 
apiVersion: v1 
kind: Pod 
metadata: 
  name: pod-as-user-guest 
spec: 
  containers: 
  - name: main
    image: alpine 
    command: ["/bin/sleep","99999"] 
    securityContext: 
      runAsNonRoot: true


[root@k8s-master ~]# kubectl get pod 
NAME                     READY   STATUS                       RESTARTS   AGE
pod-as-user-guest        0/1     CreateContainerConfigError   0          53s



  Normal   Pulling    8h (x5 over 8h)  kubelet, k8s-node2  Pulling image "alpine"
  Warning  Failed     8h (x5 over 8h)  kubelet, k8s-node2  Error: container has runAsNonRoot and image will run as root
现在,即使攻击者篡改了镜像,他们也无法做出进 步的破坏。
富士康质检员张全蛋
关注
  • 4
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security Context
每天都要开心呀(#^.^#)
05-03 1123
KubernetesSecurity Context安全上下文简单简绍~
kubernetes-使用文档.pdf
10-18
Kubernetes支持多种资源对象,如ConfigMap(存储非敏感配置数据)、CronJob(定时任务)、CustomResourceDefinition(自定义资源)、DaemonSet(确保每个Node上至少运行一个Pod)、Deployment(声明式更新Pod)、...
kubernetes常见安全问题_Kubernetes安全上下文runAsUser
weixin_39895977的博客
12-21 518
定义 定义 描述 ContainerGroup 容器组 ImageRegistryCredential 镜像仓库登录信息 Volume 数据卷 Event 事件 Tag 容器标签 DNSConfig DNS配置信息 Container 容器 ContainerState 容器状态 VolumeMount 数据卷挂载点 EnvironmentVar 容器环境变量 ContainerPort 容器端口...
K8s- 运行Pod时的root和非root安全相关配置
最新发布
dzqxwzoe的博客
05-30 1128
1 )概述2 )正常场景whoamiid -uhostname3 )启用 privilegedhostname4 )在 yaml 中配置 securityContext 和 privileged。
RunAsUser
weixin_34019144的博客
12-01 251
/****************************** Module Header ******************************\* Module Name:  CppRunAsUser.cpp* Project:      CppRunAsUser* Copyright (c) Microsoft Corporation.* * * * This source is su...
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 2996
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
root运行容器(K8S SecurityContext
小单的博客专栏
08-04 4916
一、从构建镜像的角度下手 将非root添加到Dockerfile # RUN命令执行创建用和用组(命令创建了一个用newuser设定ID为5000,并指定了用登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
禁止以 root启动容器
fushan2012的博客
03-09 904
通过禁止以 root启动容器,可以限制容器内进程的可用权限,降低被容器中恶意进程通过 root 权限入侵/破坏用应用、主机甚至整个集群的风险。
kubernetes--安全上下文Security Context
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
psp-allow-privilege-escalation:Kubewarden Pod安全策略,用于控制allowPrivilegeEscalation的使用
04-15
政策如何运作此策略拒绝启用了allowPrivilegeEscalation安全上下文的所有allowPrivilegeEscalation 。 该策略还会检查initContainers 。例子由于nginx容器已启用allowPrivilegeEscalation因此以下Pod将被拒绝: api...
kubernetes中文文档
06-04
根据提供的文档概要,我们可以对Kubernetes的核心概念、架构原理及其使用进行详细的解析与扩展。 ### Kubernetes简介 #### 1.1 基本概念 Kubernetes(简称K8s)是一个开源系统,用于自动化部署、扩展以及管理容器...
RunAsUser:一个PowerShell模块,允许您模拟以系统身份运行PowerShell.exe时当前登录的用
05-03
RunAsUser模块 创建该模块是为了能够在当前用会话下运行脚本,而执行此脚本的应用程序仅具有SYSTEM访问权限。 当从RMM(远程监视和管理)系统执行无法在用空间中执行监视组件的任务时,此功能特别有用。 该脚本最初基于他在CreateProcessAsUser上的工作,但后来被重写以支持提升。 安装说明 该模块已发布到PowerShell画廊。 使用以下命令进行安装: install-module RunAsUser 用法 要在当前用下执行脚本,您需要使用RMM或其他方法以SYSTEM身份运行脚本。 要执行脚本,请运行以下命令 $scriptblock = { "Hello world" | out-file "C:\Temp\HelloWorld.txt" } invoke-ascurrentuser -scriptblock $scriptblock 该脚本将运
.net 上下文
05-25
.NET上下文是一个关键概念,它在.NET框架中扮演着至关重要的角色,特别是在处理多线程、应用程序域(AppDomain)以及对象之间的交互时。上下文通常指的是代码执行时的环境,它可以包含各种信息,如安全信息、线程...
传统java项目的构建思路以及相关技术使用
08-02
线程池@Async作用于方法上,表示使用对应的线程池来运行这个方法;线程池通过@Configuration中的@Bean注入ThreadPoolTaskExecutor。可以并行多个仓库,针对的单个仓库,多个生产者准备资源(sonarqube扫描/Tscancode...
Kubernetes(十九)Security Context(一)
wzj_110的博客
11-24 1256
一 官网文档参考 Pod 安全性标准 为 Pod 或容器配置安全上下文Security Context (1)背景引入 说明:'privileged'(特权模式) '不等于' root-->比如:root无法'关闭容器网卡' 思考:哪些容器需要'修改内核参数'? (2)安全上下文的配置级别 (3)安全上下文的设置方式 三 实战 (1)Pod 设置 Security Context 用法: 在 Pod 定义的'资源清单文件中'添加's...
Spring Security : 概念模型 SecurityContext 安全上下文
Details Inside Spring
06-14 5989
概述 介绍 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息。当一个线程在服务用期间,该安全上下文对象会保存在SecurityContextHolder中。 SecurityContextHolder类提供的功能是保持SecurityContext,不过它的用法...
Spring Security安全上下文SecurityContext介绍与Debug分析
kaven
01-23 4839
SecurityContext 定义与当前执行线程关联的最小安全信息的接口,安全上下文存储在SecurityContextHolder中,SecurityContextSecurityContextHolder获取,并包含当前经过身份验证的用的Authentication。 SecurityContext接口源码: public interface SecurityContext extends Serializable { /** * 获取当前经过身份验证的主体,或身份验证请求令牌 */
一文搞懂SecurityContext
热门推荐
m0_55878559的博客
12-29 4万+
学习SecurityContext接口的功能以及异步环境下安全上下文使用姿势~
k8s学习-CKS真题-Context安全上下文
关注网络安全、云原生安全
05-08 772
在spec下面添加(考试时可能已有securityContext)修改deployment。
在yaml文件中如何添加spec: securityContext: runAsUser: 0 containers: - name: my-container image: my-image字段
06-03
你可以在 Pod 的 YAML 文件中添加以下的配置来为 Pod 分配超级用权限: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: securityContext: runAsUser: 0 containers: - name: my-container image: my-image ``` 其中,`securityContext` 字段用于指定 Pod 的安全上下文,`runAsUser` 用于指定 Pod 内的容器以哪个用身份运行,这里的 `0` 表示以超级用 `root` 的身份运行。`containers` 字段用于指定 Pod 中的容器,`name` 用于指定容器的名称,`image` 用于指定容器使用的镜像。 将以上配置保存为 YAML 文件,然后使用 `kubectl apply -f` 命令将该文件部署到 Kubernetes 中即可。部署完成后,Kubernetes 将会为该 Pod 分配超级用权限,从而可以访问任何 Docker 镜像。 需要注意的是,为 Pod 分配超级用权限可能会带来一些安全风险,因此你应该谨慎使用该功能。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值