Openshift - SCC

Ο αρχικός συγγραφέας αυτής της σελίδας είναι Guillaume

Ορισμός

Στο πλαίσιο του OpenShift, το SCC σημαίνει Security Context Constraints. Οι περιορισμοί περιβάλλοντος ασφαλείας είναι πολιτικές που ελέγχουν τις άδειες για τα pods που εκτελούνται σε συστάδες OpenShift. Ορίζουν τις παραμέτρους ασφαλείας με τις οποίες ένα pod επιτρέπεται να εκτελείται, συμπεριλαμβανομένων των ενεργειών που μπορεί να εκτελέσει και των πόρων στους οποίους μπορεί να έχει πρόσβαση.

Οι SCCs βοηθούν τους διαχειριστές να επιβάλλουν πολιτικές ασφαλείας σε ολόκληρο το σύμπλεγμα, εξασφαλίζοντας ότι τα pods εκτελούνται με κατάλληλες άδειες και συμμορφώνονται με τα πρότυπα ασφαλείας του οργανισμού. Αυτοί οι περιορισμοί μπορούν να καθορίσουν διάφορες πτυχές της ασφάλειας του pod, όπως:

Δυνατότητες Linux: Περιορισμός των δυνατοτήτων που είναι διαθέσιμες στα containers, όπως η δυνατότητα εκτέλεσης προνομιούχων ενεργειών.
Πλαίσιο SELinux: Επιβολή πλαισίων SELinux για τα containers, τα οποία καθορίζουν πώς τα διεργασίες αλληλεπιδρούν με τους πόρους στο σύστημα.
Ανάγνωση-μόνο ριζικού συστήματος αρχείων: Αποτροπή των containers από τον τροποποίηση αρχείων σε συγκεκριμένους καταλόγους.
Επιτρεπόμενοι κατάλογοι και όγκοι του κεντρικού υπολογιστή: Καθορισμός ποιους καταλόγους και όγκους του κεντρικού υπολογιστή μπορεί να προσαρτήσει ένα pod.
Εκτέλεση ως UID/GID: Καθορισμός των αναγνωριστικών χρήστη και ομάδας με τα οποία εκτελείται η διεργασία του container.
Πολιτικές δικτύου: Έλεγχος της πρόσβασης στο δίκτυο για τα pods, όπως η περιορισμένη κίνηση εξόδου.

Με τη διαμόρφωση των SCCs, οι διαχειριστές μπορούν να εξασφαλίσουν ότι τα pods εκτελούνται με τον κατάλληλο βαθμό απομόνωσης ασφαλείας και ελέγχων πρόσβασης, μειώνοντας τον κίνδυνο ασφαλειακών ευπαθειών ή μη εξουσιοδοτημένης πρόσβασης εντός του συμπλέγματος.

Βασικά, κάθε φορά που ζητείται η αναπτυξη ενός pod, εκτελείται μια διαδικασία πρόσβασης όπως παρακάτω:

Αυτό το επιπλέον επίπεδο ασφαλείας απαγορεύει από προεπιλογή τη δημιουργία προνομιούχων pods, την προσάρτηση του αρχείου συστήματος του κεντρικού υπολογιστή ή την ρύθμιση οποιωνδήποτε χαρακτηριστικών που θα μπορούσαν να οδηγήσουν σε ανόδο προνομίων.

Pod Escape Privileges

Λίστα SCC

Για να εμφανίσετε όλα τα SCC με τον Πελάτη Openshift:

$ oc get scc #List all the SCCs

$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use

$ oc describe scc $SCC #Check SCC definitions

Όλοι οι χρήστες έχουν πρόσβαση στα προεπιλεγμένα SCC "restricted" και "restricted-v2" τα οποία είναι οι αυστηρότερες SCCs.

Χρήση του SCC

Το SCC που χρησιμοποιείται για ένα pod ορίζεται μέσα σε ένα σχόλιο:

$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged

Όταν ένας χρήστης έχει πρόσβαση σε πολλαπλά SCCs, το σύστημα θα χρησιμοποιήσει αυτό που συμφωνεί με τις τιμές του context ασφαλείας. Διαφορετικά, θα προκαλέσει ένα σφάλμα απαγορευμένης πρόσβασης.

$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain

Παράκαμψη SCC

OpenShift - SCC bypass

Αναφορές

https://www.redhat.com/en/blog/managing-sccs-in-openshift

PreviousOpenShift - Basic information NextOpenShift - Jenkins

Last updated 3 days ago

Ορισμός

Δυνατότητες Linux: Περιορισμός των δυνατοτήτων που είναι διαθέσιμες στα containers, όπως η δυνατότητα εκτέλεσης προνομιούχων ενεργειών.

Πλαίσιο SELinux: Επιβολή πλαισίων SELinux για τα containers, τα οποία καθορίζουν πώς τα διεργασίες αλληλεπιδρούν με τους πόρους στο σύστημα.

Ανάγνωση-μόνο ριζικού συστήματος αρχείων: Αποτροπή των containers από τον τροποποίηση αρχείων σε συγκεκριμένους καταλόγους.

Επιτρεπόμενοι κατάλογοι και όγκοι του κεντρικού υπολογιστή: Καθορισμός ποιους καταλόγους και όγκους του κεντρικού υπολογιστή μπορεί να προσαρτήσει ένα pod.

Εκτέλεση ως UID/GID: Καθορισμός των αναγνωριστικών χρήστη και ομάδας με τα οποία εκτελείται η διεργασία του container.

Πολιτικές δικτύου: Έλεγχος της πρόσβασης στο δίκτυο για τα pods, όπως η περιορισμένη κίνηση εξόδου.