禁止K8S容器内子进程拥有提升权限的能力

介绍

• 通过禁止容器内子进程拥有提升权限的能力，可以降低被容器中的恶意进程实现越权操作的风险。
• 如果确认当前工作负载确实需要允许容器内子进程拥有提升权限的能力的话，可以忽略此配置。

解决方案

修改工作负载的 Pod Spec 中的 securityContext定义，增加 allowPrivilegeEscalation: false配置。

配置示例

# Pod Spec (container configuration)
securityContext:
  allowPrivilegeEscalation: false

参考文章

• 为 Pod 或容器配置安全性上下文