0
0

OpenShift 4 - 容器安全之 SecurityContext 配置

《OpenShift / RHEL / DevSecOps 汇总目录》

以下两文介绍了如何利用容器特权配置对容器平台进行安全攻击,而本文介绍和部署运行容器相关的最佳 SecurityContext 实践。

  • 《容器安全 - 利用容器的特权配置实现对Kubernetes攻击,以及如何使用 PSA 防范风险(视频)》
  • 《OpenShift - 利用容器的特权配置实现对OpenShift攻击,以及如何使用 PSA 和 RHACS 防范风险(视频)》

安全上下文

安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。由下表可以看出,可在 Pod 和 Container 设置的 SecurityContext 项目部分相同、部分有差异。其中 Pod 的设置是缺省值,而 Container 的设置可以覆盖 Pod 的设置。
pod.spec.securityContextpod.spec.containers.securityContextallowPrivilegeEscalationcapabilitiesfsGroupfsGroupChangePolicyprivilegedprocMountrunAsGrouprunAsGrouprunAsNonRootrunAsNonRootrunAsUserrunAsUserseLinuxOptionsseLinuxOptionsseccompProfileseccompProfilesupplementalGroupssysctlswindowsOptionswindowsOptions
下面介绍其中和容器安全相关的项目:

allowPrivilegeEscalation

allowPrivilegeEscalation 决定容器的权限是否可以升级。当设置为 true 时,容器将获得默认权限之外的额外权限;false 可以帮助降低权限升级攻击的风险。

containers:-name: webapp
    image: nginx:1.17securityContext:allowPrivilegeEscalation:false

runAsNonRoot

runAsNonRoot 用来设置用于防止容器以 root 用户身份运行,因为 root 用户身份运行可能很危险。一般建议尽可能以非 root 方式运行容器,以降低权限升级攻击的风险。但请记住,某些应用程序可能需要 root 访问权限才能正常运行。当 runAsNonRoot 设置为 true 时,容器将以非根用户 ID(UID)启动,而不是默认的根用户 UID 0。

containers:-name: webapp
    image: nginx:1.17securityContext:runAsNonRoot:true

readOnlyRootFilesystem

readOnlyRootFilesystem 用来设置用于阻止对容器 root 文件系统的写访问。启用此设置并将其设置为 "true "时,容器的 root 文件系统将被挂载为只读,如果尝试写入 root 文件系统失败,将导致运行时错误。启用此设置虽然会减少攻击面,不过可能并不适合所有容器/应用程序,尤其是那些需要对 root 文件系统进行写访问才能正常运行的容器/应用程序。

containers:-name: webapp
    image: nginx:1.17securityContext:readOnlyRootFilesystem:true

runAsUser

runAsUser 用来设置用于指定运行容器时应使用的用户 ID。默认情况下,容器是以 root 用户身份运行的,如果攻击者获得了对容器的访问权限,就会带来安全风险。为了降低权限升级攻击的风险,容器应尽可能以非 root 用户的身份运行。此配置可在 pod 和/或容器级别使用;如果在容器级别设置,它将覆盖 pod 的配置。

containers:-name: webapp
    image: nginx:1.17securityContext:runAsGroup:1000

runAsGroup

runAsGroup 用来设置指定容器主进程应在哪个组 ID 下运行。此配置也可用于 pod 和/或容器级别;如果在容器级别设置,它将覆盖 pod 的配置。

containers:-name: webapp
    image: nginx:1.17securityContext:runAsGroup:1000

capabilities

capabilities 用来设置容器可用的内核能力。建议缺省可放弃容器所有能力,只在必要时添加授权或允许的能力,这有助于降低容器遭受潜在权限升级攻击的风险。将 capabilities 字段设置为空对象 {} 即可从容器中删除所有 Linux 能力。

containers:-name: webapp
    image: nginx:1.17securityContext:capabilities:{}

containers:-name: webapp
    image: nginx:1.17securityContext:capabilities:add:- SYS_TIME
        drop:- SYS_ADMIN

参考

https://www.cncf.io/blog/2023/12/15/best-practices-for-securing-kubernetes-deployments/
https://kubesec.io/basics/securitycontext-capabilities/

标签: openshift 安全
本文转载自: https://blog.csdn.net/weixin_43902588/article/details/135178273
版权归原作者 dawnsky.liu 所有, 如有侵权,请联系我们删除。
登录后发布评论

“OpenShift 4 - 容器安全之 SecurityContext 配置”的评论:

还没有评论
关于作者
...
overfit同步小助手
文章同步
相关阅读

网络安全法-网络运行安全

使用selenium/drissionpage时如何阻止chrome自动跳转http到https

docker desktop 里部署的Open WebUI 管理员密码忘记了的处理方法

在ubuntu20.04中搭建onsite比赛运行环境

利用开源的低代码表单设计器FcDesigner高效管理和渲染复杂表单结构

Kafka学习笔记

【前端】浏览器输入url到页面呈现发生了什么?

文章导航