禁止K8S容器内子进程拥有提升权限的能力

最新推荐文章于 2024-09-22 12:43:48 发布

原创最新推荐文章于 2024-09-22 12:43:48 发布 · 289 阅读

1 ·

CC 4.0 BY-SA版权

文章标签：

#kubernetes #容器 #docker

Kubernetes 专栏收录该内容

4 篇文章

订阅专栏

介绍

通过禁止容器内子进程拥有提升权限的能力，可以降低被容器中的恶意进程实现越权操作的风险。
如果确认当前工作负载确实需要允许容器内子进程拥有提升权限的能力的话，可以忽略此配置。

解决方案

修改工作负载的 Pod Spec 中的 securityContext定义，增加 allowPrivilegeEscalation: false配置。

配置示例

# Pod Spec (container configuration)
securityContext:
  allowPrivilegeEscalation: false

参考文章

为 Pod 或容器配置安全性上下文

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

fushan2012

关注关注

0
点赞
踩
1

收藏

觉得还不错? 一键收藏
0
评论
分享

复制链接

分享到 QQ

分享到新浪微博

扫一扫
举报

举报

专栏目录

k8s 一个容器启动多个阻塞进程

zhd930818的博客

04-21

3214

K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged

2401_87198828的博客

09-19

2789

2.测试一，当创建deployment资源时，没有匹配到“securityContext.privileged: true” 字段，说明该容器没有启用特权，可以正常创建，没有违反约束，所以最后可以正常创建deploy。2.再使用runsc创建一个容器，进入查看容器里的内核不再是宿主机的内核版本，而是gvisor自己模拟的内核，容器内所有的命令操作系统调用都是发送给模拟出来的内核，然后有它再转发到实际的宿主机内核。1.先用默认的runc创建一个容器，进去查看容器内核版本，现实的是宿主机的内核版本。

参与评论您还未登录，请先登录后发表或查看评论

严重: 子容器启动失败_k8s使用Job执行任务失败了怎么办

weixin_39921023的博客

12-03

567

Kubernetes 中使用 Job 和 CronJob 两个资源分别提供了一次性任务和定时任务的特性，这两种对象也使用控制器模型来实现资源的管理，我们在这篇文章来介绍Job执行如果失败了会怎么样呢？修改job-fail.yaml，故意引入一个错误：Never如果将 restartPolicy 设置为 Never 会怎么样？下面我们实践一下，修改job-fail.yaml后重新启动。运行 Job ...

K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor_allowprivilegeescalation和privileged(1)

最新发布

2401_87298823的博客

09-22

1774

Kubernetes 最佳安全实践指南

小楼一夜听春雨，深巷明朝卖杏花

07-12

2505

在 Kubernetes 中安全地运行工作负载是很困难的，有很多配置都可能会影响到整个 Kubernetes API 的安全性，这需要我们有大量的知识积累来正确的实施。Kubernetes 在安全方面提供了一个强大的工具securityContext，每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种securityContext的配置，探讨它们的含义，以及我们应该如何使用它们。 securityContext设置在PodSpec和ContainerSpec规范中都有定义，...

K8s入门与进阶实战课件详解

Kubernetes（常简称为 K8s）是当前云计算与容器化技术领域中最核心的容器编排系统之一，广泛应用于现代微服务架构的部署、管理与运维中。从所提供的文件信息来看，该压缩包“K8s入门与进阶课件-下-20201126-Q.zip”...

【k8s 使用笔记】 k8s挂载目录，子目录

shgh_2004的专栏

06-16

7644

需解决的问题：容器启动的时候，我们希望通过容器以外传入一些参数、配置、初始化数据；容器重启的时候，我们希望能保存运行中的一些数据；解决方案：为容器添加挂载存储卷。随之带来的问题：某些时候，我们可能需要针对不同的容器，挂载一个存储卷的不同子目录，以达到控制权限等目的。比如将用户数据放在一个NFS文件系统上，不同的用户区分不同的子目录。如果每个用户的容器，都直接挂载了整个NFS，同时又不能封禁容器的外网访问，那么这样是不安全的，如果被反弹Shell之后，会存在安全隐患。我们可以通过su

基于K8s与Dapr的微服务状态管理实践

在这个实验中，K8s 扮演了运行时基础设施的角色，而 Dapr 则作为边车（sidecar）模式运行在每个微服务旁边，提供统一的构建块能力。这种架构使得状态管理不再是某个特定服务的责任，而是由 Dapr 统一处理，从而实现...

python 进程池内子进程的顺序

09-19

进程池内子进程的顺序是不确定的，它们的执行顺序取决于操作系统和计算机的调度算法。进程池通常是通过调用multiprocessing模块中的Pool类来创建的。当调用Pool类的map()或imap()方法时，任务会被分配给进程池中的...

k8s-test01集群部署与主节点配置详解

Kubernetes（常简称为 K8s）是一种开源的容器编排平台，旨在自动化部署、扩展和管理容器化应用程序。标题“k8s-test01:k8s test01”与描述一致，表明该文件属于一个名为“k8s-test01”的测试环境或实验性集群，主要...

K8s进阶6——pod安全上下文、Linux Capabilities、OPA Gatekeeper、gvisor

百慕卿君博客

05-27

4507

1、pod安全上下文Security Context，特权容器替代方案Linux Capabilities。 2、pod安全策略psp简介，psp替代方案OPA Gatekeepe，包括rego模板、策略编写。 3、gvisor容器沙箱技术，与docker集成，与containerd集成。 4、Linux内核升级。

kubernetes--安全上下文（Security Context）

热门推荐

m0_57911290的博客

02-15

1万+

背景：容器中的应用程序默认以root账号运行的，这个root与宿主机root账号是相同的，拥有大部分对Linux内核的系统调用权限，这样是不安全的，所以我们应该将容器以普通用户运行，减少应用程序对权限的使用。启用特权模式就意味着，你要为容器提供了访问linux内核的所有能力，这是很危险的，为了减少系统调用的供给，可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities：是一个内核级别的权限，它允许对内核调用权限进行更细粒度的控制，而不是简单的以root身份能力授权。

Kubernetes （k8s）最佳安全实践指南

Enweitech Software Works

11-27

1576

对于大部分 Kubernetes 用户来说，安全是无关紧要的，或者说没那么紧要，就算考虑到了，也只是敷衍一下，草草了事。实际上 Kubernetes 提供了非常多的选项可以大大提高应用的安全性，只要用好了这些选项，就可以将绝大部分的攻击抵挡在门外。为了更容易上手，我将它们总结成了几个最佳实践配置，大家看完了就可以开干了。当然，本文所述的最佳安全实践仅限于 Pod 层面，也就是容器层面，于容器的生命周期相关，至于容器之外的安全配置（比如操作系统啦、k8s 组件啦），以后有机会再唠。 1. 为容器配置 Sec

OpenShift 4 - 容器安全之 SecurityContext 配置

多恩斯基的博客

01-05

1651

以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击，而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。

云原生|kubernetes|pod或容器的安全上下文配置解析

zsk_john的技术分享专用博客

01-08

1298

若要为 Container 设置安全性配置，可以在 Container 清单中包含securityContext字段。securityContext字段的取值是一个SecurityContext对象。你为 Container 设置的安全性配置仅适用于该容器本身，并且所指定的设置在与 Pod 层面设置的内容发生重叠时，会重写 Pod 层面的设置。Container 层面的设置不会影响到 Pod 的卷。说人话就是pod和容器两个层面都可以设置securitycontext，如果是多容器，比如，某个

K8S Pod 新安全策略 Pod Security Admission 介绍 | K8S Internals 系列第一期

BoCloud博云

04-06

2916

容器编排之争在 Kubernetes 一统天下局面形成后，K8S 成为了云原生时代的新一代操作系统。K8S 让一切变得简单了，但自身逐渐变得越来越复杂。【K8S Internals 系列专栏】围绕 K8S 生态的诸多方面，将由博云容器云研发团队定期分享有关调度、安全、网络、性能、存储、应用场景等热点话题。希望大家在享受 K8S 带来的高效便利的同时，又可以如庖丁解牛般领略其内核运行机制的魅力。

带你玩转kubernetes-k8s（第41篇：深入分析集群安全机制四[Secret, PodSecurityPolicy]）

坚持的道路注定孤独

08-14

4364

Secret私密凭据上一节提刀Secret对象，Secret的主要作用是保管私密数据，比如密码、OAuth Tokens、 SSH Key等信息。将这些私密信息放在Secret对象中比直接放在Pod或Docker Image中更安全，也更便于使用和分发。下面的例子用于创建一个Secret： apiVersion: v1 kind: Secret metadata: n...

在k8s的pod中操作文件权限不够怎么办

weixin_42605397的博客

02-15

1976

如果您在 Kubernetes(k8s)Pod 中的操作权限不足，您可以尝试以下解决方法：使用 kubectl exec 命令以 root 用户身份进入 Pod 中，例如： kubectl exec -it <pod-name> -- /bin/bash ...

K8s- 运行Pod时的root用户和非root用户的安全相关配置

dzqxwzoe的博客

05-30

1889

1 ）概述2 ）正常场景whoamiid -uhostname3 ）启用 privilegedhostname4 ）在 yaml 中配置 securityContext 和 privileged。