K8s Ingress个性化拦截配置

最新推荐文章于 2024-05-20 17:27:30 发布
最新推荐文章于 2024-05-20 17:27:30 发布
阅读量2.6k 收藏
点赞数 1
文章标签: 运维 web安全 kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_40933491/article/details/124631930
版权

K8s Ingress个性化拦截配置

本文描述如何通过修改K8s的Ingressyaml配置文件对服务请求进行一些简单的过滤(访问路径、携带参数等)

0 前情提要

响应国家护网行动,项目需要进行网络安全加固。在渗透测试对 k8s部署的gitlab 扫描中出现了几个问题:

  1. js.map 文件暴露
  2. SQL盲注问题
  3. 部分系统文件暴露问题

需要在不升级gitlab的情况下,对这部分问题进行紧急修复(项目ldap插件适配问题)。这个时候可以通过修改ingress的yaml配置,对问题进行一定程度的解决。

原始ingress:

apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: gitlab-ingress
  namespace: gitlab
spec:
  rules:
  - host: gitlab.xxx.com.cn
    http:
      paths:
      - backend:
          serviceName: gitlab
          servicePort: 80
        path: /
  tls:
  - hosts:
    - gitlab.xxx.com.cn
    secretName: xxx.com.cn

1 路径、文件访问拦截

1.1 问题描述

用于解决文件或路径暴露问题。

  • 漏洞类型:信息泄露问题
  • 漏洞描述:在页面响应中发现系统路径,该路径会泄露程序安装的绝对位置,泄露系统业务目录结构。

1.2 Ingress配置

方法一:通过添加backend,将域名下的目标路径定位到不存在服务的或者新自定义的错误提示后端服务中。

  • 方法一 ingress示例:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: gitlab-ingress
  namespace: gitlab
spec:
  rules:
  - host: gitlab.xxx.com.cn
    http:
      paths:
      - backend:
          serviceName: gitlab
          servicePort: 80
        path: /
      - backend:
          serviceName: gitlab-deny
          servicePort: 80
        path: /demo/spring-boot-demo/commit/
      - backend:
          serviceName: gitlab-deny
          servicePort: 80
        path: /explore/projects/
      - backend:
          serviceName: gitlab-deny
          servicePort: 80
        path: /help/
  tls:
  - hosts:
    - gitlab.xxx.com.cn
    secretName: xxx.com.cn

注意:在rules.http.paths 下方追加了要拦截的路径到新的backend中。这些要拦截的路径指向的backend均不存在(gitlab-deny)。此方法为K8s官方文档推荐。

方法二:通过 nginx.ingress.kubernetes.io/configuration-snippet 参数,将nginx配置注入服务ingress的Nginx对应的server配置中

  • 方法二 ingress示例:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/configuration-snippet: |
      location ~* \.(map)$ { 
        deny all; 
      }
  
  name: gitlab-ingress
  namespace: gitlab
spec:
  rules:
  - host: gitlab.xxx.com.cn
    http:
      paths:
      - backend:
          serviceName: gitlab
          servicePort: 80
        path: /
  tls:
  - hosts:
    - gitlab.xxx.com.cn
    secretName: xxx.com.cn

注意:在 metadata.annotations 下追加了 nginx.ingress.kubernetes.io/configuration-snippet 参数,在参数里添加通常nginx写在server下的过滤配置即可。要注意左侧的空格问题,否则会报错。

方法一和方法二可以混用,配置相同的拦截情况下,会优先判定方法二的配置

2 SQL注入拦截

2.1 问题描述

用于解决SQL盲注问题。由于无法修改后端代码,通过Ingress配置进行请求过滤

  • 漏洞类型:SQL注入
  • 漏洞描述:SQL 注入攻击指的是通过构建特殊的输入作为参数传入网站应用程序,而这些输入大都是 SQL 语法里的一些组合,通过执行 SQL 语句进而执行攻击者所要的操作,其主要原因是网站应用程序没有细致地过滤用户输入的数据,致使恶意用户可以构造非法数据侵入系统。具体来说,它是利用现有应用程序,将恶意的 SQL 语句注入到后台数据库引擎执行的能力,它可以通过在 Web 表单中输入恶意 SQL 语句得到一个存在安全漏洞的网站上的数据库,而不是按照设计者意图去执行 SQL 语句。
    攻击者利用 SQL 注入漏洞,可以访问或者修改数据,用来从数据库中获取,敏感信息,或者利用潜在的特征执行添加用户,导出文件等一系列恶意操作,甚至有可能获取数据库乃至系统的最高权限,利用数据库漏洞进行攻击。

2.2 Ingress配置

在不修改服务本身的情况下,和上一个问题的方法二一样,通过 nginx.ingress.kubernetes.io/configuration-snippet 参数,将nginx配置注入服务ingress的Nginx对应的server配置中

  • ingress示例:
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  annotations:
    nginx.ingress.kubernetes.io/configuration-snippet: |
      if ($query_string ~* ('\$|'|--|[+|(%20)]union[+|(%20)]|[+|(%20)]insert[+|(%20)]|[+|(%20)]drop[+|(%20)]|[+|(%20)]truncate[+|(%20)]|[+|(%20)]update[+|(%20)]|[+|(%20)]from[+|(%20)]|[+|(%20)]grant[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]where[+|(%20)]|[+|(%20)]select[+|(%20)]|[+|(%20)]and[+|(%20)]|[+|(%20)]or[+|(%20)]|[+|(%20)]count[+|(%20)]|[+|(%20)]exec[+|(%20)]|[+|(%20)]chr[+|(%20)]|[+|(%20)]mid[+|(%20)]|[+|(%20)]like[+|(%20)]|[+|(%20)]iframe[+|(%20)]|[\<|%3c]script[\>|%3e]|javascript|alert|webscan|dbappsecurity|style|confirm\(|innerhtml|innertext)(.*)$) { return 555; }
      if ($uri ~* (/~).*) { return 501; }
      if ($uri ~* (\\x.)) { return 501; }
      if ($query_string ~* "[;'<>].*") { return 509; }
      if ($request_uri ~ " ") { return 509; }
      if ($request_uri ~ (\/\.+)) { return 509; } #慎加,gitlab仓库中的隐藏文件如.gitlan.ci会无法访问
      if ($request_uri ~ (\.+\/)) { return 509; }
      if ($request_uri ~* "(cost\()|(concat\()") { return 504; }
      if ($request_uri ~* "[+|(%20)]union[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]and[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]select[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]or[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]delete[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]update[+|(%20)]") { return 504; }
      if ($request_uri ~* "[+|(%20)]insert[+|(%20)]") { return 504; }
      if ($query_string ~ "(<|%3C).*script.*(>|%3E)") { return 505; }
      if ($query_string ~ "GLOBALS(=|\[|\%[0-9A-Z]{0,2})") { return 505; }
      if ($query_string ~ "_REQUEST(=|\[|\%[0-9A-Z]{0,2})") { return 505; }
      if ($query_string ~ "proc/self/environ") { return 505; }
      if ($query_string ~ "mosConfig_[a-zA-Z_]{1,21}(=|\%3D)") { return 505; }
      if ($query_string ~ "base64_(en|de)code\(.*\)") { return 505; }
      if ($query_string ~ "[a-zA-Z0-9_]=http://") { return 506; }
      if ($query_string ~ "[a-zA-Z0-9_]=(\.\.//?)+") { return 506; }
      if ($query_string ~ "[a-zA-Z0-9_]=/([a-z0-9_.]//?)+") { return 506; }	
    
  name: gitlab-ingress
  namespace: gitlab
spec:
  rules:
  - host: gitlab.xxx.com.cn
    http:
      paths:
      - backend:
          serviceName: gitlab
          servicePort: 80
        path: /
  tls:
  - hosts:
    - gitlab.xxx.com.cn
    secretName: xxx.com.cn

注意:本质上就是添加Nginx server{}下的配置,理论上可以实现任何可以通过Nginx.conf文件 server{}下配置 实现的需求

参考链接

SQL 注入拦截Nginx配置: https://blog.csdn.net/laidanlove250/article/details/123312742

珂尔尼亚
关注
  • 1
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
k8s Ingress使用详解
congge
02-20 7286
k8s Ingress使用详解
k8s service
hellosinlee的博客
03-14 177
提示:文章写完后,目录可以自动生成,如何生成可参考右边的帮助文档 文章目录k8s service定义作用类型ClusterIpLoadBalancerNodePortheadless service服务发现环境变量dns如何访问服务集群内集群外 k8s service 提示:这里可以添加本文要记录的大概内容: 例如:随着人工智能的不断发展,机器学习这门技术也越来越重要,很多人都开启了学习机器学习,本文就介绍了机器学习的基础内容。 提示:以下是本篇文章正文内容,下面案例可供参考 定义 service是一
nginx-ingress配置路径拦截规则
最新发布
一个还不成熟、正在努力成长的博客小站。
05-20 458
如果你想在 Kubernetes 中通过 Ingress 拦截特定路径并返回 403 禁止访问状态码,可以使用 Nginx Ingress 控制器的自定义配置功能。在这种情况下,可以使用 nginx.ingress.kubernetes.io/server-snippet 注解来实现路径拦截
nginx-ingress 丢失 header 问题-NGINX反向代理,header丢失的问题
jialiu111111的博客
07-11 1690
申请的申请头参数有下划线,而Nginx代理默认会把header中参数有“_”下划线的参数去掉;重启Nginx即可。在下面的这个问题中,就是因为Cookies的参数里有两个参数是带有下划线的,因而每次申请Nginx都会把这两个参数当作有效参数去掉,导致每次申请都须要认证,因而就会报下面的谬误第一条。默认情况下,并不是所有headers的fields它都会转发,fields里带有下划线(_)的,Nginx视为不合法,自动抛弃不发了。例如:AUTHORIZATION_TOKEN。ingress 配置
k8s ingress-nginx 使用 snippet 添加自定义配置(ngx_headers_more)
小单的博客专栏
02-24 9313
K8S 中使用 ingress-nginx,为我们提供了很大的方便,我们不需要自己手工维护 nginx,只需要配置相应的 ingress 规则,就可以直接生效到 nginx-controller 中。 但是凡事都是相对了,简单的另一面就是灵活性降低,我们不再能像维护自己安装的nginx 一样随心所欲的修改配置文件。比如在有些时候我们需要在 server 里或者 location 里添加一些参数,例如添加包体大小限制、添加跨域配置、添加自定义header、处理响应header等等。遇到这些需求的时候,我们开始
记一次酣畅淋漓的 K8s Ingress 排错过程(302,404,503,...)
虫虫的博客
03-11 1319
记一次酣畅淋漓的 K8s Ingress 排错过程(302,404,503,...)
ingress-nginx 负载均衡器上阻止特定路径
u012272367的博客
04-24 448
k8s中 通过ingress-nginx 配置,一键阻止所有域/站点的/特定路径,减少线上代码侵入修改配置
[Kubernetes]9. K8s ingress讲解借助ingress配置http,https访问k8s集群应用
zhoupenghui168的博客
01-11 1323
K8s ingress借助ingress配置http,https访问k8s集群应用,怎么配置ssl证书,域名解析操作
k8singress yaml文件
03-25
Kubernetesk8s)集群中,Ingress是一个核心组件,用于定义外部网络如何访问集群内部的服务。Ingress YAML文件是配置Ingress规则的文本文件,它使用YAML语法来描述HTTP和HTTPS路由规则,以便将外部请求定向到正确...
k8singress的安装及配置
bjsunwei的博客
12-22 2381
ingress 服务在k8s中也是以后台pod的形式存在,需要安装nginx-ingress-controller的镜像。 需要单独建立ingress的service,防火墙上发布应用,针对的是次service的端口。 ingress上发布应用,需要新增单独的ingress配置配置域名、端口、后台对应的service
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
07-20
k8s-修改ingress-nginx-controller中nginx配置文件参数参考
Kubernetes Ingress Nginx常用配置参数设置
weixin_43855694的博客
06-24 1万+
Ingress-Nginx Deployment containers: - name: nginx-ingress-controller image: quay.io/kubernetes-ingress-controller/nginx-ingress-controller:0.30.0 args: - /nginx-ingress-controller - --configmap=.
如何在 Kubernetes 中进行 ingress-nginx 配置优化以及HTTP请求速率限制
WeiyiGeek 唯一极客IT知识分享
05-19 2468
公众号关注「WeiyiGeek」将我设为「特别关注」,每天带你玩转网络安全运维、应用开发、物联网IOT学习!本章目录:1.Kubernetesingress-nginx优化配置2.Kubernetesingress-nginx 上的 HTTP 的速率限制请求原文地址:https://blog.weiyigeek.top/2020/5-28-588.html1.K...
一站式动态多环境建设案例
阿里巴巴中间件
09-15 595
01问题背景Aliware致景科技成立于 2013 年 12 月,是领先的纺织产业互联网企业,国家高新技术企业。旗下拥有“百布”、“全布”、“天工”、“致景金条”、“致景纺织智造园”、“致景智慧仓物流园”等业务板块,致力于通过大数据、云计算、物联网等新一代信息技术,全面打通纺织服装行业的信息流、物流和资金流,帮助行业实现协同化、柔性化、智能化的升级,构建纺织服装纵向一体化的数智化综合服务平台。我们...
Kubernetes_11_Ingress服务暴露
05-05 398
Ingress 服务暴露 IngressK8s API 的标准资源类型之一,也是一种核心资源,它其实就是一级基于域名和URL路径,把用户的请求转发至指定Service资源的规则。 可以将集群外部的请求流量,转发到集群内部,从而实现服务暴露。 说白了,Ingress就是个nginx +一段go 脚本而已。 常用的Ingress 控制器实现: Ingress-nginx HAProxy Traefik : 这里使用这个作为服务暴露 traefik 官网地址: https://doc.traefik.io
Ingress的概念和原理
热门推荐
个人博客
11-01 1万+
一、What、Why (一) ingress诞生的背景: 到达service所选中的节点上,然后负载均衡到每一个节点上。nodeport虽然提供了对外的方式但也有很大的弊端: 由于servcie的实现方式use_space、iptables、ipvs这三种方式只支持4层协议通信,不支持7层协议,因此nodeport不能代理https(客户端的角度);nodeport需要暴露service所属每个node节点上端口,当需求越来越多,端口数量越多,导致维护成本过高,并且集群不好管理(运维的技术难度)。
程序安全漏洞
usa_washington的博客
09-18 246
程序安全
K8S】简明安装教程 - Snippet
wangsp82的专栏
05-22 264
K8S 简明安装教程
k8s的ceph
fengge55的博客
03-30 4521
ceph安装 地址:https://rook.io/docs/rook/v1.8/quickstart.html 特性丰富 1,支持三种存储接口:块存储、文件存储、对象存储。 2,支持自定义接口,支持多种语言驱动。 基本概念 Ceph OSD Object Storage Device是ceph的核心组件,用于存储数据,处理数据的复制、恢复、回填、再均衡,并通过检查其他OSD守护进程的心跳来向Ceph Monitors提供一些监控信息。ceph集群每台机器上的每块盘需要运行一个OSD进程。 每个OSD
k8s ingress配置
06-02
Kubernetes中的Ingress是一种API对象,它允许管理外部对集群中服务的访问。要配置Ingress,您需要完成以下步骤: 1. 安装和配置Ingress Controller:Ingress Controller是一个负责处理Ingress请求的软件,您需要选择一个Ingress Controller并按照其文档进行安装和配置。 2. 创建Ingress资源:使用kubectl创建一个Ingress资源,并为其定义规则来指定要路由的请求路径和服务。 3. 配置DNS记录:要将Ingress路由到正确的服务,您需要将域名解析到Ingress Controller的IP地址。 下面是一个示例Ingress资源的配置文件: ``` apiVersion: networking.k8s.io/v1 kind: Ingress metadata: name: example-ingress spec: rules: - host: example.com http: paths: - path: /foo pathType: Prefix backend: service: name: foo-service port: name: http - path: /bar pathType: Prefix backend: service: name: bar-service port: name: http ``` 此配置文件定义了一个名为“example-ingress”的Ingress资源,它将请求路径“/foo”路由到名为“foo-service”的服务,并将请求路径“/bar”路由到名为“bar-service”的服务。要将此配置文件应用于Kubernetes集群,请使用以下命令: ``` kubectl apply -f <filename> ``` 请注意,要将Ingress路由到正确的服务,您需要在服务中定义正确的标签,以便Ingress Controller可以将其与Ingress规则匹配。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值