Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Ο αρχικός συγγραφέας αυτής της σελίδας είναι Guillaume
Έχοντας μια επισκόπηση μπορεί να βοηθήσει να γνωρίζουμε ποιες κανόνες είναι ενεργοί, σε ποιον τρόπο και ποιος μπορεί να τους παρακάμψει.
ConstraintTemplate και Constraint μπορούν να χρησιμοποιηθούν στο Open Policy Agent (OPA) Gatekeeper για την επιβολή κανόνων στους πόρους Kubernetes.
Μια Γραφική Διεπαφή Χρήστη μπορεί επίσης να είναι διαθέσιμη για την πρόσβαση στους κανόνες OPA με το Gatekeeper Policy Manager. Είναι "μια απλή μόνο-ανάγνωστη διαδικτυακή διεπαφή για την προβολή της κατάστασης των πολιτικών OPA Gatekeeper σε ένα Kubernetes Cluster."
Αναζητήστε την εκτεθειμένη υπηρεσία :
Όπως απεικονίζεται στην παραπάνω εικόνα, ορισμένοι κανόνες ενδέχεται να μην εφαρμόζονται καθολικά σε όλα τα namespaces ή χρήστες. Αντίθετα, λειτουργούν με βάση μια λίστα επιτρεπόμενων. Για παράδειγμα, ο περιορισμός liveness-probe εξαιρείται από την εφαρμογή σε πέντε συγκεκριμένα namespaces.
Με μια συνολική επισκόπηση της διαμόρφωσης του Gatekeeper, είναι δυνατόν να εντοπιστούν πιθανές κακές ρυθμίσεις που θα μπορούσαν να εκμεταλλευτούν για να αποκτήσουν προνόμια. Αναζητήστε whitelisted ή εξαιρούμενα namespaces όπου ο κανόνας δεν ισχύει, και στη συνέχεια εκτελέστε την επίθεσή σας εκεί.
Abusing Roles/ClusterRoles in KubernetesΈνας άλλος τρόπος για να παρακάμψετε τους περιορισμούς είναι να εστιάσετε στον πόρο ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfiguration