Kubernetes SecurityContext(s)
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Al especificar el contexto de seguridad de un Pod, puedes usar varios atributos. Desde un punto de vista de seguridad defensiva, deberías considerar:
Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup y supplementaryGroups
Un grupo suplementario especial que se aplica a todos los contenedores en un pod. Algunos tipos de volúmenes permiten que el Kubelet cambie la propiedad de ese volumen para que sea propiedad del pod: 1. El GID propietario será el FSGroup 2. El bit setgid está establecido (los nuevos archivos creados en el volumen serán propiedad de FSGroup) 3. Los bits de permiso se OR'd con rw-rw---- Si no se establece, el Kubelet no modificará la propiedad y los permisos de ningún volumen | |
Esto define el comportamiento de cambiar la propiedad y el permiso del volumen antes de ser expuesto dentro del Pod. | |
El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece. | |
Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace. | |
El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica. | |
El contexto SELinux que se aplicará a todos los contenedores. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor. | |
Las opciones seccomp que usarán los contenedores en este pod. | |
Una lista de grupos aplicados al primer proceso ejecutado en cada contenedor, además del GID principal del contenedor. | |
Los sysctls contienen una lista de sysctls con espacio de nombres utilizados para el pod. Los pods con sysctls no soportados (por el tiempo de ejecución del contenedor) podrían fallar al lanzarse. | |
La configuración específica de Windows aplicada a todos los contenedores. Si no se especifica, se utilizarán las opciones dentro del SecurityContext de un contenedor. |
Este contexto se establece dentro de las definiciones de contenedores. Desde un punto de vista de seguridad defensiva, deberías considerar:
allowPrivilegeEscalation como False
No agregar capabilities sensibles (y eliminar las que no necesites)
privileged como False
Si es posible, establece readOnlyFilesystem como True
Establece runAsNonRoot como True y establece un runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup.
Ten en cuenta que los atributos establecidos en ambos SecurityContext y PodSecurityContext, el valor especificado en SecurityContext tiene precedencia.
AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que su proceso padre. Este booleano controla directamente si la bandera no_new_privs se establecerá en el proceso del contenedor. AllowPrivilegeEscalation es verdadero siempre que el contenedor se ejecute como Privileged o tenga CAP_SYS_ADMIN | |
Las capabilities para agregar/quitar al ejecutar contenedores. Por defecto, se utiliza el conjunto predeterminado de capabilities. | |
Ejecutar el contenedor en modo privilegiado. Los procesos en contenedores privilegiados son esencialmente equivalentes a root en el host. Por defecto, es falso. | |
procMount denota el tipo de montaje proc a usar para los contenedores. El valor predeterminado es DefaultProcMount, que utiliza los valores predeterminados del tiempo de ejecución del contenedor para rutas de solo lectura y rutas enmascaradas. | |
Si este contenedor tiene un sistema de archivos raíz de solo lectura. El valor predeterminado es falso. | |
El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece. | |
Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace. | |
El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica. | |
El contexto SELinux que se aplicará al contenedor. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor. | |
Las opciones seccomp que usará este contenedor. | |
La configuración específica de Windows aplicada a todos los contenedores. |
integer
string
integer
boolean
integer
Más información sobre seLinux
Más información sobre Seccomp
integer array
array Más información sobre
boolean
Más información sobre Capabilities
boolean
string
boolean
integer
boolean
integer
Más información sobre seLinux
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)