热门标签
热门文章
- 1IO_总结
- 2mysql开启ssl_mysql ssl
- 3Elasticsearch7.6.x学习笔记(超详细)_es 7.6源码解析
- 4YOLOv7 | 注意力机制 | 添加ECA注意力机制_eca模块
- 5Python 机器学习 基础 之 监督学习 [ 神经网络(深度学习)] 算法 的简单说明_深度学习算法
- 6Flutter-Android签名打包,给小伙伴分享APP吧_flutter android签名打包
- 7C语言实现运动会分数统计_运动会分数统计系统c语言
- 8copy 修改时间_SCI论文审稿时间需要多久?
- 9n皇后问题(DFS)_比赛 题库 提交记录 hack! 博客 帮助 好评差评[-5] #58. n皇后问题百度翻译实时翻
- 10云原生存储:使用MinIO与Spring整合
当前位置: article > 正文
K8s: 运行Pod时的root用户和非root用户的安全相关配置_pod以root运行
作者:秋刀鱼在做梦 | 2024-07-17 23:51:20
赞
踩
pod以root运行
关于 root 用户
1 )概述
- docker 容器运行起来,默认是 root 用户
- 这样运行起来后,基本不会遇到权限相关问题
- 带来的问题是: 权限过大,被攻击后会遇到严峻挑战
- 基于这个问题,K8s提出了特权用户的概念
- 在容器启动时,虽然启动的是 root 用户,但是不具备所有root功能
- 只是一个映射的root用户,如果不开启 privilege 试图修改系统关键信息
- 是会报错的,加上 --privilege 之后,就是一个特权用户,就可以进行修改
2 )正常场景
- $
docker run -it busybox sh - $
whoami这里显示 root - $
id -u0 - $
hostnamedb3437d25c87 - $
sysctl kernel.hostname=wwwwwwwwsysctl: error setting key ‘kernel.hostname’: Read-only file system
3 )启用 privileged
- $
docker run -it --privileged busybox sh - $
sysctl kernel.hostname=wwwwwwwwkernel.hostname = wwwwwwww - $
hostnamewwwwwwww
4 )在 yaml 中配置 securityContext 和 privileged
apiVersion: v1
kind: Pod
metadata:
name: nginx
spec:
containers:
- name: nginx
image: nginx
securityContext:
privileged: true
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
非 root 用户
- 对容器越权访问控制,K8s 提供 securityContext 这一概念
- 它提供一个非root用户运行容器的能力
- 容器对root用户本身是有一定自我保护能力的
- root权限太大,更安全方式是设定好用户和组来运行
1 )先不进行权限处理
- 默认是root权限,但是root权限本身收到一定的限制
- 但是root总是不太安全的
- security.yaml
apiVersion: v1 kind: Pod metadata: name: security-context labels: name: security-context spec: volumes: - name: security emptyDir: {} # 这是一个 Pod 内部的临时目录 containers: - name: busybox image: busybox command: ["sh", "-c", "sleep 1h"] resources: limits: memory: "64Mi" cpu: "500m" volumeMounts: - name: security # 注意,这个名字需要与卷定义中的 name 匹配 mountPath: /data/demo securityContext: privileged: false # 是否以特权模式运行容器 allowPrivilegeEscalation: false # 是否允许权限提升
- 1
- 2
- 3
- 4
- 5
- 6
- 7
- 8
- 9
- 10
- 11
- 12
- 13
- 14
- 15
- 16
- 17
- 18
- 19
- 20
- 21
- 22
- 23
- 24
- $
kubectl apply -f security.yaml创建 podpod/security-context created- 1
- $
kubectl get pod -w | grep secu查询 pod 状态security-context 1/1 Running 0 21s- 1
- $
kubectl exec -it security-context -- sh进入容器(pod内一个容器不用-c指定) - $
id查看 id 信息uid=0(root) gid=0(root) groups=0(root),10(wheel)- 1
- $
ps查看进程PID USER TIME COMMAND 1 root 0:00 sh -c sleep 1h 12 root 0:00 sh 19 root 0:00 ps- 1
- 2
- 3
- 4
- $
cd /data/demo && ls -latotal 0 drwxrwxrwx 2 root root 6 Apr 19 04:25 . drwxr-xr-x 3 root root 18 Apr 19 04:26 ..- 1
- 2
- 3
- 好,从上面可以看到都是 root 权限,现在我们进行修改
2 )添加 securityContext 配置
- 要为 Pod 设置安全性设置,可在 Pod 规约中包含 securityContext 字段
- 为 Pod 所设置的安全性配置会应用到 Pod 中所有 Container 上
- 清理刚才的pod, 并对之前 yaml 文件进行编辑
- 在 security.yaml 中添加 securityContext 更多的配置
- 注意这个配置的位置,在 spec 下面第一个位置
spec: securityContext: runAsUser: 1000 runAsGroup: 3000 fsGroup: 2000- 1
- 2
- 3
- 4
- 5
- 在配置文件中, runAsUser 字段指定 Pod 中的所有容器内的进程都使用用户 ID 1000 来运行
- runAsGroup 字段指定所有容器中的进程都以主组 ID 3000 来运行
- 如果忽略此字段,则容器的主组 ID 将是 root(0)
- 当 runAsGroup 被设置时,所有创建的文件也会划归用户 1000 和组3000
- 由于 fsGroup被设置,容器中所有进程也会是附组 ID 2000 的一部分
- 卷 /data/demo 及在该卷中创建的任何文件的属主都会是组 ID 2000
- 重新运行起来后,进入容器
- $
kc exec -it security-context -- sh - $
iduid=1000 gid=3000 groups=2000,3000- 1
- 你会看到 gid 值为 3000,也就是 runAsGroup 字段的值
- 如果 runAsGroup 被忽略,则 gid 会取值 0(root)
- 而进程就能够与 root 用户组所拥有以及要求 root 用户组访问权限的文件交互
- $
psPID USER TIME COMMAND 1 1000 0:00 sh -c sleep 1h 7 1000 0:00 sh 15 1000 0:00 ps- 1
- 2
- 3
- 4
- $
cd /data/demo && ls -latotal 0 drwxrwsrwx 2 root 2000 6 Apr 19 04:42 . drwxr-xr-x 3 root root 18 Apr 19 04:42 ..- 1
- 2
- 3
- 从上面可以看到用户权限变更了,这样在受到攻击的时候,会尽可能减少损失
声明:本文内容由网友自发贡献,不代表【wpsshop博客】立场,版权归原作者所有,本站不承担相应法律责任。如您发现有侵权的内容,请联系我们。转载请注明出处:https://www.wpsshop.cn/w/秋刀鱼在做梦/article/detail/842607
推荐阅读
相关标签
