介绍
- 通过禁止容器内子进程拥有提升权限的能力,可以降低被容器中的恶意进程实现越权操作的风险。
- 如果确认当前工作负载确实需要允许容器内子进程拥有提升权限的能力的话,可以忽略此配置。
解决方案
修改工作负载的 Pod Spec
中的 securityContext
定义,增加 allowPrivilegeEscalation: false
配置。
配置示例
# Pod Spec (container configuration)
securityContext:
allowPrivilegeEscalation: false
参考文章