Kubernetes SecurityContext(s)
Last updated
Last updated
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
Al especificar el contexto de seguridad de un Pod, puedes usar varios atributos. Desde un punto de vista de seguridad defensiva, deberías considerar:
Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup y supplementaryGroups
Un grupo suplementario especial que se aplica a todos los contenedores en un pod. Algunos tipos de volúmenes permiten que el Kubelet cambie la propiedad de ese volumen para que sea propiedad del pod: 1. El GID propietario será el FSGroup 2. El bit setgid está establecido (los nuevos archivos creados en el volumen serán propiedad de FSGroup) 3. Los bits de permiso se OR'd con rw-rw---- Si no se establece, el Kubelet no modificará la propiedad y permisos de ningún volumen
Esto define el comportamiento de cambiar la propiedad y el permiso del volumen antes de ser expuesto dentro del Pod.
El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece.
Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace.
El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica.
El contexto SELinux que se aplicará a todos los contenedores. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor.
Las opciones seccomp que usarán los contenedores en este pod.
Una lista de grupos aplicados al primer proceso ejecutado en cada contenedor, además del GID primario del contenedor.
Los sysctls contienen una lista de sysctls con espacio de nombres utilizados para el pod. Los pods con sysctls no soportados (por el tiempo de ejecución del contenedor) podrían fallar al lanzarse.
La configuración específica de Windows aplicada a todos los contenedores. Si no se especifica, se utilizarán las opciones dentro del SecurityContext de un contenedor.
Este contexto se establece dentro de las definiciones de contenedores. Desde un punto de vista de seguridad defensiva, deberías considerar:
allowPrivilegeEscalation como False
No agregar capacidades sensibles (y eliminar las que no necesites)
privileged como False
Si es posible, establece readOnlyFilesystem como True
Establece runAsNonRoot como True y establece un runAsUser
Si es posible, considera limitar permisos indicando seLinuxOptions y seccompProfile
No dar acceso de grupo de privilegios a través de runAsGroup.
Ten en cuenta que los atributos establecidos en tanto SecurityContext como PodSecurityContext, el valor especificado en SecurityContext tiene precedencia.
AllowPrivilegeEscalation controla si un proceso puede obtener más privilegios que su proceso padre. Este booleano controla directamente si la bandera no_nuevos_privilegios se establecerá en el proceso del contenedor. AllowPrivilegeEscalation es verdadero siempre que el contenedor se ejecute como Privileged o tenga CAP_SYS_ADMIN
Las capacidades para agregar/eliminar al ejecutar contenedores. Por defecto, se utiliza el conjunto predeterminado de capacidades.
Ejecutar el contenedor en modo privilegiado. Los procesos en contenedores privilegiados son esencialmente equivalentes a root en el host. Por defecto, es falso.
procMount denota el tipo de montaje proc a usar para los contenedores. El valor predeterminado es DefaultProcMount, que utiliza los valores predeterminados del tiempo de ejecución del contenedor para rutas de solo lectura y rutas enmascaradas.
Si este contenedor tiene un sistema de archivos raíz de solo lectura. El valor predeterminado es falso.
El GID para ejecutar el punto de entrada del proceso del contenedor. Usa el valor predeterminado de tiempo de ejecución si no se establece.
Indica que el contenedor debe ejecutarse como un usuario no root. Si es verdadero, el Kubelet validará la imagen en tiempo de ejecución para asegurarse de que no se ejecute como UID 0 (root) y fallará al iniciar el contenedor si lo hace.
El UID para ejecutar el punto de entrada del proceso del contenedor. Por defecto, se utiliza el usuario especificado en los metadatos de la imagen si no se especifica.
El contexto SELinux que se aplicará al contenedor. Si no se especifica, el tiempo de ejecución del contenedor asignará un contexto SELinux aleatorio para cada contenedor.
Las opciones seccomp que usará este contenedor.
La configuración específica de Windows aplicada a todos los contenedores.
entero
cadena
entero
booleano
entero
Más información sobre seLinux
Más información sobre Seccomp
array de enteros
array Más información sobre
booleano
Más información sobre Capabilities
booleano
cadena
booleano
entero
booleano
entero
Más información sobre seLinux
Aprende y practica Hacking en AWS:HackTricks Training AWS Red Team Expert (ARTE) Aprende y practica Hacking en GCP: HackTricks Training GCP Red Team Expert (GRTE)
