k8s中容器权限问题

最新推荐文章于 2024-05-10 08:31:59 发布
最新推荐文章于 2024-05-10 08:31:59 发布
阅读量5.2k 收藏 1
点赞数 1
分类专栏: Kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_38814358/article/details/109578692
版权
问题1

在容器内strace/gdb一个进程报错:

operation not permitted

这涉及到ptrace系统调用的权限问题,默认容器是没有权限去ptrace进程的。

这个问题需要通过给容器提权才能解决,在K8S中需要给container级别增加如下选项:

      containers:
      - name: xxx
        image: xxx.com/php/zhongce_v2:a382ecfa39d16391bc91f2036437906ef97c875e-1553052454
        securityContext:
          capabilities:
            add: ["SYS_PTRACE"]
      containers:
      - name: xxx
        image: xxx.com/php/zhongce_v2:a382ecfa39d16391bc91f2036437906ef97c875e-1553052454
        securityContext:
          capabilities:
            add: ["SYS_PTRACE"]

注意,securityContext.capabilities选项只能在container级别生效,不能配置到POD级别。

capabilities还包括一些其他权限,另外也有平行于capabilities的其他选项可以配置,可以进一步学习:https://kubernetes.io/docs/tasks/configure-pod-container/security-context/。

问题2

因为容器内的程序用到了大量的systemV信号量,需要通过sysctl命令调大阀值。

直接在容器里调整是被禁止的:

sysctl kernel.sem=”1034 32000 100 1000″

sysctl: setting key “kernel.sem”: Read-only file system

对于如下的sysctl配置:

kernel.shm*,
kernel.msg*,
kernel.sem,
fs.mqueue.,
net..
允许在POD级别指定securityContext生效,但是前提是在kubelet启动参数中进行授权,比如:

kubelet –allowed-unsafe-sysctls kernel.sem

然后就可以在POD级进行sysctl修改,生效到POD下的所有容器:

    metadata:
      labels:
        app: xxxx
    spec:
      securityContext:
        sysctls:
        - name: kernel.sem
          value: "1034 32000 100 1000"
    metadata:
      labels:
        app: xxxx
    spec:
      securityContext:
        sysctls:
        - name: kernel.sem
          value: "1034 32000 100 1000"

然后在容器里观察一下,已经生效:

[root@zhongce-85d55fd5b5-hrwbs ~]# sysctl -a|grep sem
kernel.sem = 1034	32000	100	1000
kernel.sem_next_id = -1

[root@zhongce-85d55fd5b5-hrwbs ~]# sysctl -a|grep sem
kernel.sem = 1034	32000	100	1000
kernel.sem_next_id = -1

K8S调整sysctl的官方文档:https://kubernetes.io/zh/docs/tasks/administer-cluster/sysctl-cluster/。

更多的POD级securityContext参考官方文档:https://kubernetes.io/docs/concepts/policy/pod-security-policy/。

奔跑的胖小孩
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Kubernetes部署ELK问题sysctl: setting key “vm.max_map_count“, ignoring: Read-only file system
Soft_Engneer的专栏
04-21 6257
Kubernetes部署elasticsearch
阿里云k8s 一键部署nacos2.0.3
01-10
阿里云Kubernetes(简称k8s)是一款强大的容器编排系统,它可以帮助用户轻松管理和部署分布式应用。Nacos是阿里巴巴开源的一款动态服务发现、配置管理和服务管理平台,它为微服务架构提供了关键的支持。在本场景,...
K8s开启容器内的文件系统只读功能
sre救赎之路
04-03 526
K8s启动的容器根目录权限可读写,存在安全隐患。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor
Innocence_0的博客
02-25 1017
这是一个争议比较大的问题,有的人会建议先学编程,而有的人会建议先学计算机基础,其实这都是要学的。容器的应用程序默认以root账号运行的,这个root与宿主机root用户权限是一样的,拥有大部分对Linux内核的系统调用权限,不安全,所以我们应该将容器里的程序以普通用户运行,减少应用程序对权限的使用。2.再使用runsc创建一个容器,进入查看容器里的内核不再是宿主机的内核版本,而是gvisor自己模拟的内核,容器内所有的命令操作系统调用都是发送给模拟出来的内核,然后有它再转发到实际的宿主机内核。
K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged
最新发布
qq194582923的博客
05-10 789
not startswith(image, input.parameters.prefix) ##input.parameters.prefix获取约束的参数,并和image比较,判断两者是否相同为true。3、startswith(A,B),当A=B,则为true,此时会拦截,所以跟我们想要的结果相反,需要把输出值变成false才能放行,所以前面加个not取反即可。1、startswith(qingjun/flask-demo:v4, qingjun/) ,两者比较相等,输入值为true。
Failed to get D-Bus connection: Operation not permitted 报错__k8s环境 进入pod 使用 systemctl 命令报错
IChen.的博客
06-02 1530
问题描述 K8s环境 进入pod 使用 systemctl 命令报错: Failed to get D-Bus connection: Operation not permitted 问题原因 该pod不是特权级容器 K8s环境 创建特权级容器 需要在deployment.yaml文件指定参数 解决方案 修改定义该pod的deployment.yaml文件 在spec下 指定以下参数 (注意格式、要对齐否则不生效) securityContext: privileged: true
k8s 读书笔记 - 初始化容器 Init Container
dotNET跨平台
09-07 2065
Init Container 概述Init Container(Init 容器)是一种特殊容器,在 Pod 内的应用容器启动之前运行,执行相关的初始化操作。Init 容器可以包括一些应用镜像不存在的实用工具和安装脚本。每个 Pod 可以包含一个或多个容器, App 应用运行在这些 Container 容器里面,同样 Pod 的Init 容器也可以有一个或多个(先于应用容器启动)...
Mac权限问题,operation not permitted
pengjunlee的博客
03-22 4676
一般情况下我们在使用mac系统过程下载一些文件、新建一些项目之后,这些文件都会默认是只读状态,这时我们只需要简单的一句权限设置命令就可以解决 sudo chmod -R 777 你要修改文件上层目录的路径 但是我们在对 usr/bin 目录下的文件进行操作的时候往往会出现 operation not permitted ,这是因为一些mac用户在升级系统之后,电脑启用了SIP(System...
【Mac OS】Mac部分目录读写提示“Operation not permitted”解决
热门推荐
qq_28869927的博客
10-15 3万+
文章目录问题产生问题分析问题解决关闭Rootless打开Rootless 问题产生 今天在将mac默认安装的python2.7升级为python3时,终端运行: sudo mv /usr/bin/python /usr/bin/python_old 提示“Operation not permitted”,操作不成功。 问题分析 笔者在此前一天刚把Ubuntu 18.04 LTS的Python2升...
k8s容器集群讲义.zip
11-29
黑马讲义的“k8s容器集群讲义”涵盖了从基础概念到实际操作的全面知识,下面我们将详细探讨其涵盖的主要知识点。 1. **Kubernetes基础知识**:K8s的核心概念包括Pod、Service、Deployment、ReplicaSet、ConfigMap...
K8S及镜像容器安全架构设计
10-17
K8S 及镜像容器安全架构设计 Kubernetes 安全架构设计是当前云计算和容器化技术非常重要的一部分。该架构设计旨在提供一个安全、可靠、可扩展的容器化平台,以满足企业对安全和合规性的要求。 认证和授权 ...
k8s-utils
02-13
在现代云原生环境,Kubernetes(简称k8s)已经成为容器编排的事实标准。然而,随着集群规模的扩大和复杂性的增加,管理和调试Kubernetes集群变得日益复杂。这时,一套高效的工具集合显得尤为重要。"k8s-utils"就是...
k8s集群环境搭建资源
10-27
Kubernetes(简称k8s)是Google开源的一种容器编排系统,用于自动化容器化的应用程序部署、扩展和管理。k8s集群环境的搭建是一项复杂而重要的任务,它涉及到多个组件的安装配置,包括Master节点和Worker节点,以及...
记 k8s helm 权限认证失败解决
qq_42689877的博客
04-22 502
主要思路:重建权限,清除已有helm缓存和配置文件,重建权限,重建helm pod 1.Delete the Service Account kubectl delete serviceaccount --namespace kube-system tiller 2.Delete the cluster role binding kubectl delete clusterrolebinding tiller-cluster-rule 3.Remove helm dir...
k8s pod 文件权限不足
greenery的专栏
03-29 837
两套集群,同样的云平台,操作系统版本,k8s版本,docker版本,k8s镜像,配置。集群甲顺利部署,集群乙部署后,网络组件异常,容器内文件操作权限不足导致异常退出。目前排查到差别就是集群乙已经创建了业务用户(uid1000),这个会有影响吗?单独docker run那个镜像,在里面操作文件内问题,应该是k8s这边。怀疑selinux,但也关了。
Docker容器里没有权限执行命令,提示Permission denied
我的博客
07-19 5363
只修改Dockerfile一次,不用每次修改。方法二:Dockerfile设置权限。方法一:root进入容器
k8s 没有写入容器权限
duoyasong5907的博客
03-25 1720
容器能调度,并成功挂载pv,正常启动,但控制台报错如下: 原因是用户启动名默认为1001,而目录权限默认为root。对此有两个解决方向,一种方向是以root启动,另一种是在容器创建前把目录权限改为1001. 用root启动 所以需要设置启动用户为root spec: template: spec: containers; ... securityContext: runAsUser: 0 fsGroup: 0 用root用户启动即可
dmidecode Operation not permitted
nia305的博客
08-06 1749
文章目录问题描述解决方法官方解释 问题描述 在制作一个Docker,把/dev/mem mount到容器里面,并且把容器启动: sudo docker run -ti -p 12345:8080 --mount type=bind,source=/dev/mem,destination=/dev/mem myImage:v1 /bin/bash 发现在容器里面执行dmidecode命令会出现: ...
【云攻防系列】从攻击者视角聊聊K8S集群安全(上)
yy1715713348的博客
07-21 513
作为云原生管理与编排系统的代表,Kubernetes(简称K8S)正受到越来越多的关注,有报告[1]显示,96% 的组织正在使用或评估K8S,其在生产环境下的市场占有率可见一斑。K8S 的功能十分强大,其系统复杂性也同样较高,一般而言,程序越复杂则越容易存在安全问题,自然而然地,K8S 集群也同样面临着严重的安全威胁,如 K8S组件的未授权访问、容器逃逸和横向攻击等。我们说攻和防是相互促进、相伴而生的,作为相关安全人员首先应该从整体上把握业务架构可能面临的安全威胁才有可能做好防护。
在k8s集群容器怎么提升权限
02-16
在Kubernetes(k8s)集群容器默认是以非特权(non-privileged)模式运行的,这意味着容器内的进程没有足够的权限来执行一些特权操作,例如访问主机的设备或文件系统等。但是,如果您需要在容器内执行一些特权操作,可以考虑以下几种方法: 1. 在容器使用特权模式(privileged mode):在Pod的容器规范(spec)设置“securityContext.privileged”为true,这将使容器运行在特权模式下,具有与主机相同的权限。但是,这种方法存在一定的安全风险,因为容器内的进程可以直接访问主机的资源和设备。 2. 添加容器级别的特权:在Pod的容器规范设置“securityContext.capabilities.add”字段,可以为容器添加特定的特权。例如,您可以为容器添加SYS_ADMIN特权,以便在容器内执行一些管理员级别的操作。 3. 使用安全上下文(Security Context):在Pod或容器规范设置“securityContext”字段,可以为容器指定一些安全上下文,例如“runAsUser”和“runAsGroup”,以指定容器内的进程运行的用户和组。这可以帮助限制容器内进程的权限。 4. 使用Pod级别的特权:在Pod规范设置“securityContext.hostNetwork”为true,可以使Pod与主机共享网络命名空间,从而容器可以访问主机上的网络设备。 需要注意的是,在使用特权模式或添加特权时,需要对容器内的进程进行严格的访问控制和安全审计,以确保容器不会被利用来攻击主机或其他容器

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值