Kubernetes安全--securityContext介绍

于 2024-07-29 15:03:17 发布
阅读量374 收藏 4
点赞数 3
文章标签: kubernetes 安全 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43756308/article/details/140769018
版权

作者:雅泽

securityContext是用来控制容器内的用户权限,你想用什么用户去执行程序或者执行操作等等。

1. securityContext介绍

安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。 安全上下文包括但不限于:

自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID). 来判定对对象(例如文件)的访问权限。

安全性增强的 Linux(SELinux): 为对象赋予安全性标签。

以特权模式或者非特权模式运行。

Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。

AppArmor:使用程序框架来限制个别程序的权能。

Seccomp:过滤进程的系统调用。

AllowPrivilegeEscalation:控制进程是否可以获得超出其父进程的特权。 此布尔值直接控制是否为容器进程设置 no_new_privs标志。 当容器以特权模式运行或者具有 CAP_SYS_ADMIN 权能时,AllowPrivilegeEscalation 总是为 true。

readOnlyRootFilesystem:以只读方式加载容器的根文件系统。

2. 如何为Pod设置安全性上下文

要为 Pod 设置安全性设置,可在 Pod 规约中包含 securityContext 字段。securityContext 字段值是一个 PodSecurityContext 对象。你为 Pod 所设置的安全性配置会应用到 Pod 中所有 Container 上。 下面是一个 Pod 的配置文件,该 Pod 定义了 securityContext 和一个 emptyDir 卷。

apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo
spec:
  securityContext:
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  volumes:
  - name: sec-ctx-vol
    emptyDir: {}
  containers:
  - name: sec-ctx-demo
    image: busybox
    command: [ "sh", "-c", "sleep 1h" ]
    volumeMounts:
    - name: sec-ctx-vol
      mountPath: /data/demo
    securityContext:
      allowPrivilegeEscalation: false

3. 为Container设置安全性上下文

我们可以在pod层面和container层面设置上下文,但是如果2个同时配置了,那么container的级别要高于pod的级别,也就是container会覆盖pod中的securityContext配置。

[root@VM-4-3-centos ~]# cat security-context-2.yaml
apiVersion: v1
kind: Pod
metadata:
  name: security-context-demo-2
spec:
  securityContext:
    runAsUser: 1000
  containers:
  - name: sec-ctx-demo-2
    image: empiregeneral/node-hello:1.0
    securityContext:
      runAsUser: 2000
      allowPrivilegeEscalation: false

4. Pod的特权模式运行

Privileged-决定是否 Pod 中的某容器可以启用特权模式。 默认情况下,容器是不可以访问宿主上的任何设备的,不过一个“privileged(特权的)” 容器则被授权访问宿主上所有设备。 这种容器几乎享有宿主上运行的进程的所有访问权限。 对于需要使用 Linux 权能字(如操控网络堆栈和访问设备)的容器而言是有用的。

        image: busybox:latest
        imagePullPolicy: Always
        name: security-context
        resources:
          limits:
            cpu: 500m
            memory: 1Gi
          requests:
            cpu: 250m
            memory: 256Mi
        securityContext:
          privileged: true
        terminationMessagePath: /dev/termination-log
        terminationMessagePolicy: File

在上下文配置上这个字段,后续pod就可以获取宿主机的访问权限了。

更多技术信息请查看云掣官网https://yunche.pro/?t=yrgw

云掣YUNCHE
关注
  • 3
    点赞
  • 4
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
kubernetes--安全上下文(Security Context
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
Kubernetes安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 8030
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
Kubernetes Security Context 的使用
小楼一夜听春雨,深巷明朝卖杏花
05-18 1122
Security Context 的使用 CVE-2019-5736 通过对 GitHub 上的统计结果可以看到,主流的业务镜像有 82.4% 是以 root 用户来启动的。通过这个调查可以看到对 Security Context 的相关使用是不容乐观的。 Kubernetes Runtime 安全策略 经过对上面的分析结果可以看出来,如果我们对业务容器配置安全合适的参数,其实攻击者很难有可乘之机。那么我们究竟应该在部署 Kubernetes 集群中的业务容器做哪些 runtime 运行时.
Kubernetes(十九)Security Context(一)
wzj_110的博客
11-24 1270
一 官网文档参考 Pod 安全性标准 为 Pod 或容器配置安全性上下文 二 Security Context (1)背景引入 说明:'privileged'(特权模式) '不等于' root-->比如:root用户无法'关闭容器网卡' 思考:哪些容器需要'修改内核参数'? (2)安全上下文的配置级别 (3)安全上下文的设置方式 三 实战 (1)Pod 设置 Security Context 用法: 在 Pod 定义的'资源清单文件中'添加's...
kubernetes资源对象之security context
LoveSummer
12-21 4130
安全上下文(Security Context)定义 Pod 或 Container 的的权限和访问控制。 安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID). 来判定对对象(例如文件)的访问权限。 安全性增强的 Linux(SELinux: 为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序
kubernetes-----常见五大控制器
qq_42761527的博客
05-20 2266
一.控制器概述 控制器:又称之为工作负载,分别包含以下类型的控制器,控制器决定资源的类型 1.Deployment 2.StatefulSet 3.DaemonSet 4.Job 5.CronJob pod与控制器之间的关系 控制器:在集群上管理和运行容器的对象通过Label-selector相关联 Pod:通过控制器实现应用的运维,比如伸缩,升级等 二.Deployment 使用deployment部署无状态应用;管理pod和ReplicaSet(副本数);具有线上部
深入剖析Kubernetes--第五章:Kubernetes编排原理_Pod
weixin_46367157的博客
03-03 594
kubernetes编排原理:Pod 1 为什么需要Pod 复习: ​ Namespace做隔离,Cgroups做限制,rootfs做文件系统 ​ 容器的本质是进程 今日学习: ​ 在操作系统中,进程通常以进程组的方式“有原则”地组织在一起。 ​ 一些容器之间需要紧密协作(超亲密关系):互相之间发生直接的文件交换、使用localhost 或者Socket文件进行本地通信、会发生非常频繁的远程调用、需要共享某些Linux Namespace(例如一个容器需要加入另一个容器的 Network Namespace
Kubernetes学习--集群安装
qq_43539962的博客
06-19 5498
Kubernetes--集群安装服务器准备查看centos版本配置host时间同步禁用iptables和firewalld禁用selinux禁用swap分区修改linux内核参数配置ipvs功能重启服务器检查之前关闭的各种配置是否生效Kubernetes安装docker安装添加配置文件启动docker 服务器准备 本地用VMware虚拟3台服务器,主机名分别命名node1,node2,master1 查看centos版本 cat /etc/redhat-release 推荐使用7.5及以上版本 这里
kubernetes-使用文档.pdf
10-18
Kubernetes支持多种资源对象,如ConfigMap(存储非敏感配置数据)、CronJob(定时任务)、CustomResourceDefinition(自定义资源)、DaemonSet(确保每个Node上至少运行一个Pod)、Deployment(声明式更新Pod)、...
kubernetes安全机制--Admission Control准入控制
江晓龙的博客
04-20 717
kubernetes安全机制–Admission Control准入控制 通过了认证和授权之后,还需要经过准入控制处理之后,apiserver才会处理请求。 准入控制是一个可配置的控制器列表,可以通过在apiserver上使用命令行设置执行哪些准入控制器 用于拦截请求的一种方式,运行在认证,授权之后,是权限认证链上的最后一环,对请求API资源对象进行修改和校验 --admission-control=NamespaceLifecycle,LimitRanger,ServiceAccount,Persiste
非root用户运行容器(K8S SecurityContext
小单的博客专栏
08-04 4957
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
k8s安全机制:Pod Security Policy与Security Context
最新发布
风向决定发型丶的博客
11-03 887
自从首次引入 PodSecurityPolicy 以来, PSP 存在一些严重的可用性问题, 只有做出断裂式的改变才能解决。PodSecurityPolicy (PSP) 在 Kubernetes 1.21 中被弃用, 在Kubernetes v1.25会被移除。替代方案Pod Security Standard(Pod安全标准)。使用 Pod 安全标准的 PSP 来获得和目前 PSP 替代策略相似的功能。
docker exec -it_Docker 和 Kubernetes 中的 root 与 privileged
weixin_39689622的博客
11-28 766
我们大多数熟悉 Unix 类系统的人,都习惯于通过使用 sudo 来随意提升自己的权限,成为 root 用户。我们在使用 Docker 容器的过程中知道,他提供了一个 --privileged 的参数,其实它与随意使用 sudo 有很大的不同,它可能会让你的应用程序面临不必要的风险,下面我们将向你展示这与以 root 身份运行的区别,以及特权的实际含义。作为 Root 运行Docker ...
K8S为 Pod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题
运维@小兵的博客
09-12 8085
文章目录一、问题浅谈Docker安全性支持二、解决方法`方法一:简单粗暴``方法二:温柔可佳`Capability能力介绍点这里 一、问题 我需要在容器里面把最大文件句柄数设置为204800,但发现被拒绝。这是Docker自身安全机制导致的 浅谈Docker安全性支持 二、解决方法 方法一:简单粗暴 设置容器为特权模式即可,但安全性不高 在yaml文件添加如下两行 securityContext: privileged: true kubectl apply -f pod-01.yam
Kubernetes (k8s)最佳安全实践指南
Enweitech Software Works
11-27 1335
对于大部分 Kubernetes 用户来说,安全是无关紧要的,或者说没那么紧要,就算考虑到了,也只是敷衍一下,草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性,只要用好了这些选项,就可以将绝大部分的攻击抵挡在门外。为了更容易上手,我将它们总结成了几个最佳实践配置,大家看完了就可以开干了。当然,本文所述的最佳安全实践仅限于 Pod 层面,也就是容器层面,于容器的生命周期相关,至于容器之外的安全配置(比如操作系统啦、k8s 组件啦),以后有机会再唠。 1. 为容器配置 Sec
kubernetes使用securityContext和sysctl
dianfu2892的博客
06-26 3205
前言 在运行一个容器时,有时候需要使用sysctl修改内核参数,比如net.、vm.、kernel等,sysctl需要容器拥有超级权限,容器启动时加上--privileged参数即可。那么,在kubernetes中是如何使用的呢? Security Context kubernetes中有个字段叫securityContext,即安全上下文,它用于定义Pod或Container的权...
kubernetes安全机制--Admission Control 准入控制
热门推荐
程序源234的专栏
07-29 1万+
引言当请求通过了前面的认证和授权之后,还需要经过准入控制处理通过之后,apiserver 才会处理这个请求。Admission Control 有一个准入控制列表,我们可以通过命令行设置选择执行哪几个准入控制器。只有所有的准入控制器都检查通过之后,apiserver 才执行该请求,否则返回拒绝。
k8s_SecurityContext(基础)的零散笔记
酱园里一鸭鸭の笔记
05-10 1706
pod.spec.securityContext SecurityContext holds pod-level security attributes and common container settings. Optional: Defaults to empty. See type description for default values of each field. pod运行时,其中的容器可以被提权为节点管理员,需要禁止这种行为。 pod.spec.containers.pod_name.s
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值