OpenShift - SCC bypass
Die oorspronklike skrywer van hierdie bladsy is Guillaume
Bevoorregte Naamruimtes
Standaard is SCC nie van toepassing op die volgende projekte nie:
standaard
kube-stelsel
kube-publiek
openshift-node
openshift-infra
openshift
As jy bakkies in een van hierdie naamruimtes ontplooi, sal geen SCC afgedwing word nie, wat die ontplooiing van bevoorregte bakkies of die koppel van die gasheer se lêersisteem moontlik maak.
Naamruimte-etiket
Daar is 'n manier om die toepassing van die SCC op jou bakkie te deaktiveer volgens die RedHat-dokumentasie. Jy sal ten minste een van die volgende toestemmings nodig hê:
Skep 'n Naamruimte en Skep 'n Bakkie in hierdie Naamruimte
Wysig 'n Naamruimte en Skep 'n Bakkie in hierdie Naamruimte
Die spesifieke etiket openshift.io/run-level
stel gebruikers in staat om SCCs vir toepassings te omseil. Volgens RedHat-dokumentasie, wanneer hierdie etiket gebruik word, word geen SCCs afgedwing op alle peule binne daardie naamruimte nie, wat effektief enige beperkings verwyder.
Voeg Etiket By
Om die etiket in jou naamruimte by te voeg:
Om 'n naamspasie met die etiket te skep deur 'n YAML-lêer:
Nou moet alle nuwe peule wat geskep word in die naamspasie geen SCC hê nie
In die afwesigheid van SCC is daar geen beperkings op jou peuldefinisie nie. Dit beteken dat 'n skadelike peul maklik geskep kan word om te ontsnap na die gasheerstelsel.
Nou is dit makliker om voorregte te eskaleer om toegang tot die gasheerstelsel te verkry en gevolglik die hele groep oor te neem, deur 'cluster-admin' voorregte te verkry. Soek na die Node-Post Exploitation gedeelte op die volgende bladsy:
Attacking Kubernetes from inside a PodAangepaste etikette
Verder, gebaseer op die teikensetup, kan sommige aangepaste etikette / annotasies op dieselfde manier as die vorige aanvalscenario gebruik word. Selfs al is dit nie daarvoor bedoel nie, kan etikette gebruik word om toestemmings te gee, te beperk of nie 'n spesifieke hulpbron te beperk nie.
Probeer om na aangepaste etikette te soek as jy sommige hulpbronne kan lees. Hier is 'n lys van interessante hulpbronne:
Pod
Implementering
Naamspasie
Diens
Roete
Lys van alle bevoorregte namespaces
Gevorderde uitbuiting
In OpenShift kan die toestemming om 'n houer in 'n naamspasie met die openshift.io/run-level
etiket te ontplooi, soos vroeër gedemonstreer, lei tot 'n reguit oorneem van die groep. Vanuit 'n groepinstellingsperspektief kan hierdie funksionaliteit nie afgeskakel word nie, aangesien dit inherent is aan OpenShift se ontwerp.
Nietemin kan maatreëls vir verligting soos Open Policy Agent GateKeeper voorkom dat gebruikers hierdie etiket instel.
Om GateKeeper se reëls te omseil en hierdie etiket in te stel om 'n groepsoorneem uit te voer, sal aanvallers alternatiewe metodes moet identifiseer.
Verwysings
Last updated