Kubernetes(十九)Security Context(一)

最新推荐文章于 2024-04-07 22:55:09 发布
最新推荐文章于 2024-04-07 22:55:09 发布
阅读量1.2k 收藏 7
点赞数 1
分类专栏: kubernetes
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/wzj_110/article/details/109891778
版权

一    官网文档

Pod 安全性标准

为 Pod 或容器配置安全性上下文

Pod的安全策略

二    Security Context

(1)背景引入

说明:'privileged'(特权模式) '不等于' root-->比如:root用户无法'关闭容器网卡'

思考:哪些容器需要'修改内核参数'?

(2)安全上下文的配置级别

(3)安全上下文的设置方式

三    Pod 设置 Security Context

用法: 在 Pod 定义的'资源清单文件中'添加 'securityContext' 字段,就可以为 Pod 指定安全上下文相关的设定

特点: 通过'该字段'指定的内容将会对'当前 Pod 中的所有容器'生效

(2)常用字段的介绍

kubectl explain 'pods.spec.securityContext'

Security Context List

apiVersion: v1
kind: Pod
metadata:
  name: security-context
spec:
  volumes:
  - name: sec-vol
    emptyDir: {}
  securityContext:          '三个常用参数'
    runAsUser: 1000
    runAsGroup: 3000
    fsGroup: 2000
  containers:
  - name: sec-demo
    image: busybox
    command: ["sh", "-c", "sleep 3600"]
    volumeMounts:
    - name: sec-vol
      mountPath: /pod/sec
    securityContext:
      allowPrivilegeEscalation: false

一个思考

制作镜像'USER'是root,但是进程运行的是1000,不能往'数据卷'里面写文件-->'怎么办?'

(1)进程指定成root -->'根本上'

(2)initContaner  --> chmod 改变权限

(3)查看和验证

说明的是runAsUser指的是'常驻进程-->也就是entrypoint或者cmd'的'用户身份'-->'也是进入容器后相应bash的用户身份'

①  进入容器,top命令查看

kubectl exec -it security-context -- top

对比

②   查看数据卷


③   综合查看

④  尝试删除

四    容器设置 Security Context

kubectl explain pods.spec.'containers.securityContext'

说明: 参数和Pod级别差不多,这里'不再细讲'

apiVersion: v1
kind: Pod
metadata:
  name: security-context-container
spec:
  securityContext:
    runAsUser: 1000                              '对比'
  containers:
  - name: sec-ctx-demo
    image: busybox
    command: [ "sh", "-c", "sleep 60m" ]
    securityContext:
      runAsUser: 2000                            '对比'
      allowPrivilegeEscalation: false          

kubectl exec -it security-context-container -- top

五   设置 Linux Capabilities

(1)背景

(2)什么是 Capabilities

 capabilities man page 

(3) docker中设置

场景引入

Docker 容器本质上就是一个进程,所以理论上容器就会和进程一样会有一些默认的开放权限,默认情况下 Docker 会删除必须的 capabilities 之外的所有 capabilities,因为在容器中我们经常会以 root 用户来运行,使用 capabilities 限制后,容器中的使用的 root 用户权限就比我们平时在宿主机上使用的 root 用户权限要少很多了,这样即使出现了安全漏洞,也很难破坏或者获取宿主机的 root 权限,所以 Docker 支持 Capabilities 对于容器的安全性来说是非常有必要的。

不过我们在运行容器的时候可以通过指定 --privileded 参数来开启容器的超级权限,这个参数一定要慎用,因为他会获取系统 root 用户所有能力赋值给容器,并且会扫描宿主机的所有设备文件挂载到容器内部,所以是非常危险的操作。

但是如果你确实需要一些特殊的权限,我们可以通过 --cap-add 和 --cap-drop 这两个参数来动态调整,可以最大限度地保证容器的使用安全。

下面'表格中'列出的 Capabilities 是 'Docker 默认给容器添加的',我们可以通过 --cap-drop '去除'其中一个或者多个

vendor/github.com/containerd/containerd/oci/'spec_unix.go',这个文件定义了'缺省的capability'

 新版本

下面'表格中'列出的 Capabilities 是 Docker '默认删除'的,我们可以通过'--cap-add添加'其中一个或者多个:

需求:修改网络接口数据

默认情况下是'没有权限的',因为需要的 'NET_ADMIN' 这个 Capabilities ,'默认被移除了'

docker run -it --rm '--cap-add=NET_ADMIN' busybox /bin/sh
所以在'不使用 --privileged 的情况下'('也不建议')我们可以使用 --cap-add=NET_ADMIN 将这个 Capabilities 添加回来

备注: root和privileged的'权限的对比'在这里凸线出来了-->root默认只有14种'capabilities',privileged具有'操作系统所有'的

参考博客

(4)操作系统上设置

 kernel 2.2 之后Linux  以capabilities区分不同单元的关联root特权,'非root'进程都去'检查对应的capabilities'

扩展学习

结论:ping 命令在执行时需要'访问网络',所需的 capabilities 为 'cap_net_admin' 和 'cap_net_raw'

继续探究

列出了'系统支持'的capability

查看'当前进程'的 capabilities 信息

(5)Kubernetes设置

效果

细节: 如果在容器中先'关闭网卡,再开启网卡',网络不通

wzj_110
关注
  • 1
    点赞
  • 7
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Security Context
每天都要开心呀(#^.^#)
05-03 1094
KubernetesSecurity Context安全上下文简单简绍~
awesome-kubernetes-security:精选的Kubernetes安全资源精选清单
05-28
:locked: 很棒的Kubernetes安全 精选的Kubernetes安全资源的精选列表。 你能挖一下它么?开源项目基于Kubernetes审核日志自动生成RBAC策略容器本机运行时安全性将AWS IAM与Kubernetes集成 bench-根据安全最佳实践...
kubernetesr进阶--Security Context之为Pod设置Security Context
linus.lin的博客
10-30 257
在 Pod 的定义中增加字段,即可为 Pod 指定 Security 相关的设定。字段是一个 PodSecurityContext对象。通过该字段指定的内容将对该 Pod 中所有的容器生效。
K8s进阶6——pod安全上下文(1),重难点整理
最新发布
2401_84138785的博客
04-07 953
2.创建pod,使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看,是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户,则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。
kubernetes--安全上下文(Security Context
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
Kubernetes Security Context 的使用
小楼一夜听春雨,深巷明朝卖杏花
05-18 1102
Security Context 的使用 CVE-2019-5736 通过对 GitHub 上的统计结果可以看到,主流的业务镜像有 82.4% 是以 root 用户来启动的。通过这个调查可以看到对 Security Context 的相关使用是不容乐观的。 Kubernetes Runtime 安全策略 经过对上面的分析结果可以看出来,如果我们对业务容器配置安全合适的参数,其实攻击者很难有可乘之机。那么我们究竟应该在部署 Kubernetes 集群中的业务容器做哪些 runtime 运行时.
非root用户运行容器(K8S SecurityContext
小单的博客专栏
08-04 4770
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录和shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
Kubernetes【安全】1. SecurityContext 安全上下文
爱死亡机器人
09-11 7955
简介 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于: 自主访问控制(Discretionary Access Control):基于 用户 ID(UID)和组 ID(GID).来判定对对象(例如文件)的访问权限 安全性增强的 Linux(SELinux):为对象赋予安全性标签。 以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor:使用程序文件来限制单个程
Kubernetes Deployment & Security Patterns
09-09
Containers are considered in context with Kubernetes. There is no other standard to speak of that can support the market scale that will be needed for containers to be used in production. The only ...
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
02-04
kubernetes-security-best-practice:Kubernetes安全-最佳实践指南
Kubernetes Security - Liz Rice.pdf
05-10
文档名称,Kubernetes Security - Liz Rice.pdf Chapter1-8 xxxxxxxxxxxxxxxxxxx
Learn-Kubernetes-Security:了解Packt发布的Kubernetes Security
05-26
Kubernetes是一个用于管理容器化应用程序的开源编排平台。 尽管已广泛采用该技术,但DevOps工程师可能并未意识到容器化环境的陷阱。 通过这本综合性的书,您将学习如何使用Kubernetes平台上可用的各种安全集成来...
一文搞懂SecurityContext
热门推荐
m0_55878559的博客
12-29 4万+
学习SecurityContext接口的功能以及异步环境下安全上下文的使用姿势~
Spring Security 实战干货:SecurityContext相关的知识
码农小胖哥
11-22 2972
1. 前言 欢迎阅读 Spring Security 实战干货[1] 系列文章 。在前两篇我们讲解了 基于配置[2] 和 基于注解[3] 来配置访问控制。今天我们来讲一下如何在接口访问中检索当前认证用户信息。我们先讲一下具体的场景。通常我们在认证后访问需要认证的资源时需要获取当前认证用户的信息。比如 “查询我的个人信息”。如果你直接在接口访问时显式的传入你的 UserID 肯定是不合适的...
Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行
小楼一夜听春雨,深巷明朝卖杏花
08-05 8163
配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间,还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ,或者每个 pod 中单独的容器。 了解安全上下文中可以配置的内容,配置安全上下文可以允许你做很多事 指定容器中运行进程的用户(用户ID )。 阻止容器使用 root 户运行(容器的默认运行用户通常在其镜像中指定,所以可能需要阻止容器 root 用户运行 使用特权模式运行
Spring Security : 概念模型 SecurityContext 安全上下文
Details Inside Spring
06-14 5948
概述 介绍 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息。当一个线程在服务用户期间,该安全上下文对象会保存在SecurityContextHolder中。 SecurityContextHolder类提供的功能是保持SecurityContext,不过它的用法...
Spring Security:安全上下文SecurityContext介绍与Debug分析
kaven
01-23 4751
SecurityContext 定义与当前执行线程关联的最小安全信息的接口,安全上下文存储在SecurityContextHolder中,SecurityContextSecurityContextHolder获取,并包含当前经过身份验证的用户的Authentication。 SecurityContext接口源码: public interface SecurityContext extends Serializable { /** * 获取当前经过身份验证的主体,或身份验证请求令牌 */
kubernetes常见安全问题_Kubernetes安全上下文runAsUser
weixin_39895977的博客
12-21 500
定义 定义 描述 ContainerGroup 容器组 ImageRegistryCredential 镜像仓库登录信息 Volume 数据卷 Event 事件 Tag 容器标签 DNSConfig DNS配置信息 Container 容器 ContainerState 容器状态 VolumeMount 数据卷挂载点 EnvironmentVar 容器环境变量 ContainerPort 容器端口...
Kubernetes SecurityContext 安全上下文 容器添加禁用内核功能及阻止对容器根文件系统的写入
小楼一夜听春雨,深巷明朝卖杏花
08-09 933
过去, 传统的 UNIX 实现只区分特权和非特权进程, 但是经过多年的发展, Linux已经可以通过内核功能支持更细粒度的权限系统。 相比于让容器运行在特权模式下以给予其无限的权限, 一个更加安全的做法是只给予它使用真正需要的内核功能的权限。 Kubernetes允许为特定的容器添加内核功能, 或禁用部分内核功能, 以允许对容器进行 更加精细的权限控制, 限制攻击者潜在侵入的影响。 例如, 一个容器通常不允许修改系统时间(硬件时钟的时间)。 可以通过在pod-with-defaults-pod中修.
用户的security context存放在哪里
05-29
在 Linux 系统中,用户的 security context 存储在 `/etc/selinux/targeted/contexts/users` 目录下的文件中。每个文件的名称为对应用户名,文件内容包含了该用户的 security context 信息。 例如,如果要查看用户...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值