Kubelet Authentication & Authorization
Last updated
Last updated
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Por defecto, las solicitudes al endpoint HTTPS del kubelet que no son rechazadas por otros métodos de autenticación configurados se tratan como solicitudes anónimas, y se les asigna un nombre de usuario de system:anonymous
y un grupo de system:unauthenticated
.
Los 3 métodos de autenticación son:
Anónimo (por defecto): Usar configurando el parámetro --anonymous-auth=true
o la configuración:
Webhook: Esto habilitará los tokens portadores de API de kubectl como autorización (cualquier token válido será válido). Permítalo con:
asegúrese de que el grupo de API authentication.k8s.io/v1beta1
esté habilitado en el servidor API
inicie el kubelet con las banderas --authentication-token-webhook
y --kubeconfig
o use la siguiente configuración:
El kubelet llama a la TokenReview
API en el servidor API configurado para determinar la información del usuario a partir de tokens portadores.
Certificados de cliente X509: Permiten autenticar a través de certificados de cliente X509.
consulta la documentación de autenticación del apiserver para más detalles.
inicia el kubelet con la bandera --client-ca-file
, proporcionando un paquete CA para verificar los certificados de cliente. O con la configuración:
Cualquier solicitud que sea autenticada con éxito (incluida una solicitud anónima) es luego autorizada. El modo de autorización predeterminado es AlwaysAllow
, que permite todas las solicitudes.
Sin embargo, el otro valor posible es webhook
(que es lo que encontrarás mayormente allí). Este modo verificará los permisos del usuario autenticado para permitir o denegar una acción.
Ten en cuenta que incluso si la autenticación anónima está habilitada, el acceso anónimo podría no tener ningún permiso para realizar ninguna acción.
La autorización a través de webhook se puede configurar utilizando el parámetro --authorization-mode=Webhook
o a través del archivo de configuración con:
El kubelet llama a la SubjectAccessReview
API en el servidor API configurado para determinar si cada solicitud está autorizada.
El kubelet autoriza las solicitudes API utilizando el mismo enfoque de atributos de solicitud que el apiserver:
Acción
Verbo HTTP | verbo de solicitud |
---|---|
POST | crear |
GET, HEAD | obtener (para recursos individuales), listar (para colecciones, incluyendo contenido completo del objeto), observar (para observar un recurso individual o colección de recursos) |
PUT | actualizar |
PATCH | parche |
DELETE | eliminar (para recursos individuales), eliminarcolección (para colecciones) |
El recurso que se comunica con la API de Kubelet es siempre nodos y el subrecurso se determina a partir de la ruta de la solicitud entrante:
API de Kubelet | recurso | subrecurso |
---|---|---|
/stats/* | nodos | stats |
/metrics/* | nodos | metrics |
/logs/* | nodos | log |
/spec/* | nodos | spec |
todos los demás | nodos | proxy |
Por ejemplo, la siguiente solicitud intentó acceder a la información de los pods de kubelet sin permiso:
Obtuvimos un Prohibido, por lo que la solicitud pasó la verificación de autenticación. Si no, solo habríamos recibido un mensaje de No autorizado
.
Podemos ver el nombre de usuario (en este caso del token)
Verificamos cómo el recurso era nodos y el subrecurso proxy (lo cual tiene sentido con la información anterior)
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)