23 名词解释 Security Context和PSP

最新推荐文章于 2025-05-29 20:16:56 发布
最新推荐文章于 2025-05-29 20:16:56 发布
阅读量741 收藏 2
点赞数
CC 4.0 BY-SA版权
分类专栏: k8s
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/denglelai123/article/details/80852977
本文详细介绍了Kubernetes中Security Context的概念,包括Container-level和Pod-level Security Context,以及如何通过Pod Security Policies(PSP)来限制集群内的Pod和Volume。此外,还讨论了如何启用和关闭SELinux,提供了相关的示例。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

Security Context

Security Context的目的是限制不可信容器的行为,保护系统和其他容器不受其影响。
Kubernetes提供了三种配置Security Context的方法:   
  • Container-level Security Context:仅应用到指定的容器
  • Pod-level Security Context:应用到Pod内所有容器以及Volume
  • Pod Security Policies(PSP):应用到集群内部所有Pod以及Volume

Container-level Security Context

Container-level Security Context仅应用到指定的容器上,并且不会影响Volume。比如设置容器运行在特权模式:
apiVersion: v1
kind: Pod
metadata:
name: hello-world
spec:
containers:
- name: hello-world-container
# The container definition
# ...
securityContext:
privileged: true

Pod-level Security Context

Pod-level Security Context应用到Pod内所有容器,并且还会影响Volume(包括fsGroup和selinuxOptions)。
apiVersion: v1
kind: Pod
metadata:
name: hello-world
spec:
containers:
# specification of the pod's containers
# ...
securityContext:
fsGroup: 1234
supplementalGroups: [5678]
seLinuxOptions:
level: "s0:c123,c456"

Pod Security Policies(PSP)

Pod Security Policies(PSP)是集群级的Pod安全策略,自动为集群内的Pod和Volume设置Security Context。
使用PSP需要API Server开启extensions/v1beta1/podsecuritypolicy,并且配置PodSecurityPolicyadmission控制器。

支持的控制项

控制项
说明
privileged
运行特权容器
defaultAddCapabilities
可添加到容器的Capabilities
requiredDropCapabilities
会从容器中删除的Capabilities
volumes
控制容器可以使用哪些volume
hostNetwork
host网络
hostPorts
允许的host端口列表
hostPID
使用host PID namespace
hostIPC
使用host IPC namespace
seLinux
SELinux Context
runAsUser
user ID
supplementalGroups
允许的补充用户组
fsGroup
volume FSGroup
readOnlyRootFilesystem
只读根文件系统

示例

限制容器的host端口范围为8000-8080:
apiVersion: extensions/v1beta1
kind: PodSecurityPolicy
metadata:
name: permissive
spec:
seLinux:
rule: RunAsAny
supplementalGroups:
rule: RunAsAny
runAsUser:
rule: RunAsAny
fsGroup:
rule: RunAsAny
hostPorts:
- min: 8000
max: 8080
volumes:
- '*'

SELinux

SELinux (Security-Enhanced Linux) 是一种强制访问控制(mandatory access control)的实现。它的作法是以最小权限原则(principle of least privilege)为基础,在Linux核心中使用Linux安全模块(Linux Security Modules)。SELinux主要由美国国家安全局开发,并于2000年12月22日发行给开放源代码的开发社区。
可以通过runcon来为进程设置安全策略,ls和ps的-Z参数可以查看文件或进程的安全策略。

开启与关闭SELinux

修改/etc/selinux/config文件方法:
  • 开启:SELINUX=enforcing
  • 关闭:SELINUX=disabled
通过命令临时修改:
  • 开启:setenforce 1
  • 关闭:setenforce 0
查询SELinux状态:
$ getenforce

示例

apiVersion: v1
kind: Pod
metadata:
name: hello-world
spec:
containers:
- image: gcr.io/google_containers/busybox:1.24
name: test-container
command:
- sleep
- "6000"
volumeMounts:
- mountPath: /mounted_volume
name: test-volume
restartPolicy: Never
hostPID: false
hostIPC: false
securityContext:
seLinuxOptions:
level: "s0:c2,c3"
volumes:
- name: test-volume
emptyDir: {}
这会自动给docker容器生成如下的HostConfig.Binds:
/var/lib/kubelet/pods/f734678c-95de-11e6-89b0-42010a8c0002/volumes/kubernetes.io~empty-dir/test-volume:/mounted_volume:Z
/var/lib/kubelet/pods/f734678c-95de-11e6-89b0-42010a8c0002/volumes/kubernetes.io~secret/default-token-88xxa:/var/run/secrets/kubernetes.io/serviceaccount:ro,Z
/var/lib/kubelet/pods/f734678c-95de-11e6-89b0-42010a8c0002/etc-hosts:/etc/hosts
对应的volume也都会正确设置SELinux:
$ ls -Z /var/lib/kubelet/pods/f734678c-95de-11e6-89b0-42010a8c0002/volumes
drwxr-xr-x. root root unconfined_u:object_r:svirt_sandbox_file_t:s0:c2,c3 kubernetes.io~empty-dir
drwxr-xr-x. root root unconfined_u:object_r:svirt_sandbox_file_t:s0:c2,c3 kubernetes.io~secret


Security Context
每天都要开心呀(#^.^#)
05-03 1210
Kubernetes中Security Context安全上下文简单简绍~
spring security原理机制 | Spring Boot 35
热门推荐
学Java,找哪吒
06-25 5万+
一、SpringSecurity 框架简介 Spring 是非常流行成功的 Java 应用开发框架,Spring Security 正是 Spring 家族中的 成员。Spring Security 基于 Spring 框架,提供了一套 Web 应用安全性的完整解决方 案。 正如你可能知道的关于安全方面的两个主要区域是“认证”“授权”(或者访问控 制),一般来说,Web 应用的安全性包括用户认证(Authentication)用户授权 (Authorization)两个部分,这两点也是 Spring
【详解】Spring SecuritySecurityContext
dieqiuxie4160的博客
01-20 874
前言   本文主要整理一下SecurityContext的存储方式。 SecurityContext接口 顾名思义,安全上下文。即存储认证授权的相关信息,实际上就是存储"当前用户"账号信息相关权限。这个接口只有两个方法,Authentication对象的getter、setter。 package org.springframework.security.core.cont...
k8s fsGroup
最新发布
啥都会一点
05-29 458
字段功能简述fsGroup设置卷中文件的组 ID,使容器内用户有组访问权限你设置的,意味着挂载卷的文件都会设为 GID=472,通常是为了兼容容器中运行程序对文件权限的要求。
安全环境(Security Context
weixin_33935777的博客
12-10 483
安全环境(Security Context)1、安全环境概述ASA从7.0版本开始支持虚拟防火墙,也称为单一设备内的安全环境。多环境与含有多个独立设备相似,每个环境具有自己的一套安全策略(NAT、ACL、路由等)。多环境模式几乎支持在独立设备上可配置的所有选项,但不支持某些特性,如×××、动态路由选择协议等。ASA 5505不支持多环境,5510及以上型号才支持多环境,但仅免...
SpringsecuritySecurityContext
weixin_34226706的博客
09-07 1046
2019独角兽企业重金招聘Python工程师标准>>> ...
kubernetes--安全上下文(Security Context
m0_57911290的博客
02-15 1万+
背景:容器中的应用程序默认以root账号运行的,这个root与宿主机root账号是相同的, 拥有大部分对Linux内核的系统调用权限,这样是不安全的,所以我们应该将容器以普 通用户运行,减少应用程序对权限的使用。启用特权模式就意味着,你要为容器提供了访问linux内核的所有能力,这是很危险的,为了减少系统调用的供给,可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities:是一个内核级别的权限,它允许对内核调用权限进行更细粒度的控制,而不是简单的以root身份能力授权。
Linux chcon:修改文件安全上下文(security context)
Neetgo的专栏
08-21 5750
[root@hadoop1 hadoop-2.7.2]# chcon --help Usage: chcon [OPTION]... CONTEXT FILE... or: chcon [OPTION]... [-u USER] [-r ROLE] [-l RANGE] [-t TYPE] FILE... or: chcon [OPTION]... --reference=RFILE
Spring Security 6.x 系列(11)—— Form表单认证注销流程
gmHappy
12-18 8295
① 首先,用户向未授权的资源 /private 发出未经身份认证的请求。 ② Spring Security 的 AuthorizationFilter 抛出 AccessDeniedException 异常。 ③ 由于用户未经过身份验证,因此 ExceptionTranslationFilter 将启动“启动身份验证”,并使用配置的 AuthenticationEntryPoint 将重定向发送到登录页。 ④ 浏览器请求重定向到的登录页面。 ⑤ 呈现默认登录页面。
spring security reactive获取security context
weixin_33827965的博客
03-18 2516
序 本文主要研究下reactive模式下的spring security context的获取。 ReactiveSecurityContextHolder springboot2支持了webflux的异步模式,那么传统的基于threadlocal的SecurityContextHolder就不管用了。spring security5.x也支持了reactive方式,这里就需要使用reactiv...
SpringSecurity(八)--SecurityContext安全上下文
学习不止境的博客
10-20 4805
本节我们将讨论安全上下文,我们将分析它是如何工作的、如何从其中访问数据,以及应用程序如何在具有不同的与线程有关的场景中管理它。一般来说,我们为了让后续程序能够使用验证通过人员的信息,都会使用到它,比如编写一个SecurityUtils用来获取用户信息是经常用到的,那么学习它后,你就可以使用安全上下文存储关于已验证用户的详细信息了。
applicationContext-security.xml
06-21
用于配置acegi的xml文件,把这个文件加入项目中,然后建立里面的数据库,引入jar包就可以实现权限的管理
一文搞懂SecurityContext
m0_55878559的博客
12-29 4万+
学习SecurityContext接口的功能以及异步环境下安全上下文的使用姿势~
Spring Security : 概念模型 SecurityContext 安全上下文
Details Inside Spring
06-14 6211
概述 介绍 Spring Security使用接口SecurityContext抽象建模"安全上下文"这一概念。这里安全上下文SecurityContext指的是当前执行线程使用的最少量的安全信息。当一个线程在服务用户期间,该安全上下文对象会保存在SecurityContextHolder中。 SecurityContextHolder类提供的功能是保持SecurityContext,不过它的用法...
名词解释Security ContextPSP
mark's technic world
02-05 709
名词解释Security ContextPSP Security Context Security Context的目的是限制不可信容器的行为,保护系统其他容器不受其影响。 Kubernetes提供了三种配置Security Context的方法: Container-level Security Context:仅应用到指定的容器 Pod-level Security Conte...
多线程异步方法Spring Security框架的SecurityContext无法获取认证信息的原因及解决方案
小蜜蜂1010的博客
11-19 4230
解决异步任务执行时,无法获取Spring Security的安全上下文中的用户身份信息
非root用户运行容器(K8S SecurityContext
小单的博客专栏
08-04 5455
一、从构建镜像的角度下手 将非root用户添加到Dockerfile # RUN命令执行创建用户用户组(命令创建了一个用户newuser设定ID为5000,并指定了用户登录后使用的主目录shell) RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus
你应该了解的10个 Kubernetes 安全上下文设置[译]
因上努力,果上随缘。但行好事,莫问前程。
08-02 1952
在用加固你的应用时,有很多事情需要注意。如果使用得当,它们是一种非常有效的工具,我们希望这个列表能帮助你的团队为你的工作负载环境进行正确的安全配置。https。
保障K8s部署中的安全性
Free雅轩的博客
10-16 438
开发人员需要了解如何在容器化应用程序中嵌入控件,以及如何启用运行时保护机制以阻止黑客访问容器化系统。 Kubernetes是当前流行常用的容器编排工具之一。Kubernetes工作负载就像简单的nginx服务器或cron作业一样执行的应用程序。Kubernetes部署成为了一种最常用的工作负载,因为它可以轻松更新、扩展管理。 最近发布的Kubernetes Hardening指南是一个很好的资源,它提供了有关如何有效保护Kubernetes的指导。该指南提供的信息清楚地表明,保护强化Kube
APK文件security context ID在哪里看
09-15
APK文件的安全上下文ID(Security Context Identifier),也称为SELinux安全上下文,通常在AndroidManifest.xml文件的<application>标签下通过<meta-data>元素来指定。这个元数据元素看起来像这样: ```xml <meta-data android:name="android:supportsRtl" android:value="true"/> <!-- 这里就是安全上下文 --> <meta-data android:name="android:allowAllOrigins" android:value="false"> <intent-filter android:exported="true"> <meta-data android:name="android:resource-context-id" android:value="@string/app_se_linux_context" /> </intent-filter> ``` `android:resource-context-id`属性就是用于设置security context ID的地方,值通常是应用资源包中的字符串资源,例如`@string/app_se_linux_context`。 要查看实际的security context ID,你需要在应用程序运行时通过系统服务,如PackageManagerService或ActivityManagerService,动态获取这个信息。开发者一般不会直接在代码中硬编码它,因为这可能会导致权限问题,除非明确需要自定义某些安全策略。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值