Kubernetes Hardening
Last updated
Last updated
AWS рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ:HackTricks Training AWS Red Team Expert (ARTE) GCP рд╣реИрдХрд┐рдВрдЧ рд╕реАрдЦреЗрдВ рдФрд░ рдЕрднреНрдпрд╛рд╕ рдХрд░реЗрдВ: HackTricks Training GCP Red Team Expert (GRTE)
Kubescape рдПрдХ K8s рдУрдкрди-рд╕реЛрд░реНрд╕ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдПрдХ рдорд▓реНрдЯреА-рдХреНрд▓рд╛рдЙрдб K8s рд╕рд┐рдВрдЧрд▓ рдкреЗрди рдСрдл рдЧреНрд▓рд╛рд╕ рдкреНрд░рджрд╛рди рдХрд░рддрд╛ рд╣реИ, рдЬрд┐рд╕рдореЗрдВ рдЬреЛрдЦрд┐рдо рд╡рд┐рд╢реНрд▓реЗрд╖рдг, рд╕реБрд░рдХреНрд╖рд╛ рдЕрдиреБрдкрд╛рд▓рди, RBAC рд╡рд┐рдЬрд╝реБрдЕрд▓рд╛рдЗрдЬрд╝рд░ рдФрд░ рдЗрдореЗрдЬ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рд╕реНрдХреИрдирд┐рдВрдЧ рд╢рд╛рдорд┐рд▓ рд╣реИред Kubescape K8s рдХреНрд▓рд╕реНрдЯрд░, YAML рдлрд╝рд╛рдЗрд▓реЗрдВ, рдФрд░ HELM рдЪрд╛рд░реНрдЯреНрд╕ рдХреЛ рд╕реНрдХреИрди рдХрд░рддрд╛ рд╣реИ, рдХрдИ рдврд╛рдВрдЪреЛрдВ (рдЬреИрд╕реЗ NSA-CISA , MITRE ATT&CK┬о) рдХреЗ рдЕрдиреБрд╕рд╛рд░ рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди, рд╕реЙрдлрд╝реНрдЯрд╡реЗрдпрд░ рдХрдордЬреЛрд░рд┐рдпреЛрдВ, рдФрд░ RBAC (рднреВрдорд┐рдХрд╛-рдЖрдзрд╛рд░рд┐рдд-рдПрдХреНрд╕реЗрд╕-рдирд┐рдпрдВрддреНрд░рдг) рдЙрд▓реНрд▓рдВрдШрдиреЛрдВ рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рддрд╛ рд╣реИ, CI/CD рдкрд╛рдЗрдкрд▓рд╛рдЗрди рдХреЗ рдкреНрд░рд╛рд░рдВрднрд┐рдХ рдЪрд░рдгреЛрдВ рдореЗрдВ рдЬреЛрдЦрд┐рдо рд╕реНрдХреЛрд░ рддреБрд░рдВрдд рдЧрдгрдирд╛ рдХрд░рддрд╛ рд╣реИ рдФрд░ рд╕рдордп рдХреЗ рд╕рд╛рде рдЬреЛрдЦрд┐рдо рдкреНрд░рд╡реГрддреНрддрд┐рдпреЛрдВ рдХреЛ рджрд┐рдЦрд╛рддрд╛ рд╣реИред
рдЙрдкрдХрд░рдг kube-bench рдПрдХ рдРрд╕рд╛ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдпрд╣ рдЬрд╛рдВрдЪрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ Kubernetes рд╕реБрд░рдХреНрд╖рд┐рдд рд░реВрдк рд╕реЗ рддреИрдирд╛рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИ, CIS Kubernetes Benchmark рдореЗрдВ рджрд╕реНрддрд╛рд╡реЗрдЬрд┐рдд рдЬрд╛рдВрдЪреЛрдВ рдХреЛ рдЪрд▓рд╛рдХрд░ред рдЖрдк рдЪреБрди рд╕рдХрддреЗ рд╣реИрдВ:
kube-bench рдХреЛ рдПрдХ рдХрдВрдЯреЗрдирд░ рдХреЗ рдЕрдВрджрд░ рдЪрд▓рд╛рдирд╛ (рд╣реЛрд╕реНрдЯ рдХреЗ рд╕рд╛рде PID рдирд╛рдорд╕реНрдерд╛рди рд╕рд╛рдЭрд╛ рдХрд░рдирд╛)
рдПрдХ рдХрдВрдЯреЗрдирд░ рдЪрд▓рд╛рдирд╛ рдЬреЛ рд╣реЛрд╕реНрдЯ рдкрд░ kube-bench рд╕реНрдерд╛рдкрд┐рдд рдХрд░рддрд╛ рд╣реИ, рдФрд░ рдлрд┐рд░ рд╕реАрдзреЗ рд╣реЛрд╕реНрдЯ рдкрд░ kube-bench рдЪрд▓рд╛рдирд╛
Releases page рд╕реЗ рдирд╡реАрдирддрдо рдмрд╛рдЗрдирд░реА рд╕реНрдерд╛рдкрд┐рдд рдХрд░рдирд╛,
рдЗрд╕реЗ рд╕реНрд░реЛрдд рд╕реЗ рд╕рдВрдХрд▓рд┐рдд рдХрд░рдирд╛ред
рдЙрдкрдХрд░рдг kubeaudit рдПрдХ рдХрдорд╛рдВрдб рд▓рд╛рдЗрди рдЙрдкрдХрд░рдг рдФрд░ рд╡рд┐рднрд┐рдиреНрди рд╕реБрд░рдХреНрд╖рд╛ рдЪрд┐рдВрддрд╛рдУрдВ рдХреЗ рд▓рд┐рдП Kubernetes рдХреНрд▓рд╕реНрдЯрд░реНрд╕ рдХрд╛ рдСрдбрд┐рдЯ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ Go рдкреИрдХреЗрдЬ рд╣реИред
Kubeaudit рдпрд╣ рдкрд╣рдЪрд╛рди рд╕рдХрддрд╛ рд╣реИ рдХрд┐ рдХреНрдпрд╛ рдпрд╣ рдХрд┐рд╕реА рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рдПрдХ рдХрдВрдЯреЗрдирд░ рдХреЗ рднреАрддрд░ рдЪрд▓ рд░рд╣рд╛ рд╣реИред рдпрджрд┐ рд╣рд╛рдВ, рддреЛ рдпрд╣ рдЙрд╕ рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рд╕рднреА Kubernetes рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХрд╛ рдСрдбрд┐рдЯ рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдЧрд╛:
рдпрд╣ рдЙрдкрдХрд░рдг autofix
рддрд░реНрдХ рднреА рд░рдЦрддрд╛ рд╣реИ рддрд╛рдХрд┐ рдкрд╛рдИ рдЧрдИ рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЛ рд╕реНрд╡рдЪрд╛рд▓рд┐рдд рд░реВрдк рд╕реЗ рдареАрдХ рдХрд┐рдпрд╛ рдЬрд╛ рд╕рдХреЗред
рдЙрдкрдХрд░рдг kube-hunter Kubernetes рдХреНрд▓рд╕реНрдЯрд░реЛрдВ рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рдЦреЛрдЬ рдХрд░рддрд╛ рд╣реИред рдЗрд╕ рдЙрдкрдХрд░рдг рдХреЛ Kubernetes рд╡рд╛рддрд╛рд╡рд░рдг рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рдореБрджреНрджреЛрдВ рдХреЗ рдкреНрд░рддрд┐ рдЬрд╛рдЧрд░реВрдХрддрд╛ рдФрд░ рджреГрд╢реНрдпрддрд╛ рдмрдврд╝рд╛рдиреЗ рдХреЗ рд▓рд┐рдП рд╡рд┐рдХрд╕рд┐рдд рдХрд┐рдпрд╛ рдЧрдпрд╛ рдерд╛ред
Kubei рдПрдХ рдХрдордЬреЛрд░рд┐рдпреЛрдВ рдХреА рд╕реНрдХреИрдирд┐рдВрдЧ рдФрд░ CIS Docker рдмреЗрдВрдЪрдорд╛рд░реНрдХ рдЯреВрд▓ рд╣реИ рдЬреЛ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛рдУрдВ рдХреЛ рдЙрдирдХреЗ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреНрд▓рд╕реНрдЯрд░реЛрдВ рдХрд╛ рд╕рдЯреАрдХ рдФрд░ рддрд╛рддреНрдХрд╛рд▓рд┐рдХ рдЬреЛрдЦрд┐рдо рдореВрд▓реНрдпрд╛рдВрдХрди рдкреНрд░рд╛рдкреНрдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред Kubei рд╕рднреА рдЫрд╡рд┐рдпреЛрдВ рдХреЛ рд╕реНрдХреИрди рдХрд░рддрд╛ рд╣реИ рдЬреЛ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рдЙрдкрдпреЛрдЧ рдХреА рдЬрд╛ рд░рд╣реА рд╣реИрдВ, рдЬрд┐рд╕рдореЗрдВ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдкреЙрдбреНрд╕ рдФрд░ рд╕рд┐рд╕реНрдЯрдо рдкреЙрдбреНрд╕ рдХреА рдЫрд╡рд┐рдпрд╛рдБ рд╢рд╛рдорд┐рд▓ рд╣реИрдВред
KubiScan рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреЗ рд░реЛрд▓-рдЖрдзрд╛рд░рд┐рдд рдПрдХреНрд╕реЗрд╕ рдХрдВрдЯреНрд░реЛрд▓ (RBAC) рдкреНрд░рд╛рдзрд┐рдХрд░рдг рдореЙрдбрд▓ рдореЗрдВ рдЬреЛрдЦрд┐рдо рднрд░реЗ рдЕрдиреБрдорддрд┐рдпреЛрдВ рдХреЗ рд▓рд┐рдП рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рд╕реНрдХреИрди рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдПрдХ рдЙрдкрдХрд░рдг рд╣реИред
Mkat рдЕрдиреНрдп рдЙрдкрдХрд░рдгреЛрдВ рдХреА рддреБрд▓рдирд╛ рдореЗрдВ рдЙрдЪреНрдЪ рдЬреЛрдЦрд┐рдо рдХреА рдЬрд╛рдВрдЪ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдмрдирд╛рдпрд╛ рдЧрдпрд╛ рдПрдХ рдЙрдкрдХрд░рдг рд╣реИред рдЗрд╕рдореЗрдВ рдореБрдЦреНрдп рд░реВрдк рд╕реЗ 3 рд╡рд┐рднрд┐рдиреНрди рдореЛрдб рд╣реИрдВ:
find-role-relationships
: рдЬреЛ рдпрд╣ рдкрддрд╛ рд▓рдЧрд╛рдПрдЧрд╛ рдХрд┐ рдХреМрди рд╕реЗ AWS рднреВрдорд┐рдХрд╛рдПрдБ рдХрд┐рд╕ рдкреЙрдб рдореЗрдВ рдЪрд▓ рд░рд╣реА рд╣реИрдВ
find-secrets
: рдЬреЛ Pods, ConfigMaps, рдФрд░ Secrets рдЬреИрд╕реЗ K8s рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдореЗрдВ рд░рд╣рд╕реНрдпреЛрдВ рдХреА рдкрд╣рдЪрд╛рди рдХрд░рдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░рддрд╛ рд╣реИред
test-imds-access
: рдЬреЛ рдкреЙрдбреНрд╕ рдХреЛ рдЪрд▓рд╛рдиреЗ рдФрд░ рдореЗрдЯрд╛рдбреЗрдЯрд╛ v1 рдФрд░ v2 рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреА рдХреЛрд╢рд┐рд╢ рдХрд░реЗрдЧрд╛ред рдЪреЗрддрд╛рд╡рдиреА: рдпрд╣ рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рдПрдХ рдкреЙрдб рдЪрд▓рд╛рдПрдЧрд╛, рдмрд╣реБрдд рд╕рд╛рд╡рдзрд╛рди рд░рд╣реЗрдВ рдХреНрдпреЛрдВрдХрд┐ рд╢рд╛рдпрдж рдЖрдк рдпрд╣ рдирд╣реАрдВ рдХрд░рдирд╛ рдЪрд╛рд╣рддреЗ!
Popeye рдПрдХ рдЙрдкрдпреЛрдЧрд┐рддрд╛ рд╣реИ рдЬреЛ рд▓рд╛рдЗрд╡ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рд╕реНрдХреИрди рдХрд░рддреА рд╣реИ рдФрд░ рддреИрдирд╛рдд рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдФрд░ рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЗ рд╕рд╛рде рд╕рдВрднрд╛рд╡рд┐рдд рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреА рд░рд┐рдкреЛрд░реНрдЯ рдХрд░рддреА рд╣реИред рдпрд╣ рдЖрдкрдХреЗ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рддреИрдирд╛рдд рдХрд┐рдП рдЧрдП рдЖрдзрд╛рд░ рдкрд░ рд╕реНрд╡рдЪреНрдЫ рдХрд░рддрд╛ рд╣реИ рдФрд░ рдбрд┐рд╕реНрдХ рдкрд░ рдмреИрдареЗ рд╣реБрдП рдирд╣реАрдВред рдЕрдкрдиреЗ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рд╕реНрдХреИрди рдХрд░рдХреЗ, рдпрд╣ рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рддрд╛ рд╣реИ рдФрд░ рдЖрдкрдХреЛ рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рдиреЗ рдореЗрдВ рдорджрдж рдХрд░рддрд╛ рд╣реИ рдХрд┐ рд╕рд░реНрд╡реЛрддреНрддрдо рдкреНрд░рдерд╛рдПрдБ рд▓рд╛рдЧреВ рд╣реИрдВ, рдЗрд╕ рдкреНрд░рдХрд╛рд░ рднрд╡рд┐рд╖реНрдп рдХреА рд╕рдорд╕реНрдпрд╛рдУрдВ рдХреЛ рд░реЛрдХрддрд╛ рд╣реИред рдЗрд╕рдХрд╛ рдЙрджреНрджреЗрд╢реНрдп рдПрдХ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рд╕рдВрдЪрд╛рд▓рд┐рдд рдХрд░рддреЗ рд╕рдордп рд╣реЛрдиреЗ рд╡рд╛рд▓реЗ рд╕рдВрдЬреНрдЮрд╛рдирд╛рддреНрдордХ _over_load рдХреЛ рдХрдо рдХрд░рдирд╛ рд╣реИред рдЗрд╕рдХреЗ рдЕрд▓рд╛рд╡рд╛, рдпрджрд┐ рдЖрдкрдХреЗ рдХреНрд▓рд╕реНрдЯрд░ рдореЗрдВ рдПрдХ рдореЗрдЯреНрд░рд┐рдХ-рд╕рд░реНрд╡рд░ рд╣реИ, рддреЛ рдпрд╣ рд╕рдВрднрд╛рд╡рд┐рдд рд╕рдВрд╕рд╛рдзрдиреЛрдВ рдХреЗ рдЕрдзрд┐рдХ/рдХрдо рдЖрд╡рдВрдЯрди рдХреА рд░рд┐рдкреЛрд░реНрдЯ рдХрд░рддрд╛ рд╣реИ рдФрд░ рдпрджрд┐ рдЖрдкрдХрд╛ рдХреНрд▓рд╕реНрдЯрд░ рдХреНрд╖рдорддрд╛ рд╕реЗ рдмрд╛рд╣рд░ рд╣реЛ рдЬрд╛рддрд╛ рд╣реИ рддреЛ рдЖрдкрдХреЛ рдЪреЗрддрд╛рд╡рдиреА рджреЗрдиреЗ рдХрд╛ рдкреНрд░рдпрд╛рд╕ рдХрд░рддрд╛ рд╣реИред
KICS рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд Infrastructure as Code рд╕рдорд╛рдзрд╛рди рдореЗрдВ рд╕реБрд░рдХреНрд╖рд╛ рдХрдордЬреЛрд░рд┐рдпреЛрдВ, рдЕрдиреБрдкрд╛рд▓рди рдореБрджреНрджреЛрдВ, рдФрд░ рдмреБрдирд┐рдпрд╛рджреА рдврд╛рдВрдЪреЗ рдХреА рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХреЛ рдЦреЛрдЬрддрд╛ рд╣реИ: Terraform, Kubernetes, Docker, AWS CloudFormation, Ansible, Helm, Microsoft ARM, рдФрд░ OpenAPI 3.0 рд╡рд┐рд╢рд┐рд╖реНрдЯрддрд╛рдПрдБ
Checkov рдмреБрдирд┐рдпрд╛рджреА рдврд╛рдВрдЪреЗ-рдХреЗ-рдХреЛрдб рдХреЗ рд▓рд┐рдП рдПрдХ рд╕реНрдереИрддрд┐рдХ рдХреЛрдб рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдЙрдкрдХрд░рдг рд╣реИред
рдпрд╣ Terraform, Terraform рдпреЛрдЬрдирд╛, Cloudformation, AWS SAM, Kubernetes, Dockerfile, Serverless рдпрд╛ ARM Templates рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдкреНрд░рджрд╛рди рдХреА рдЧрдИ рдХреНрд▓рд╛рдЙрдб рдмреБрдирд┐рдпрд╛рджреА рдврд╛рдВрдЪреЗ рдХреЛ рд╕реНрдХреИрди рдХрд░рддрд╛ рд╣реИ рдФрд░ рдЧреНрд░рд╛рдл-рдЖрдзрд╛рд░рд┐рдд рд╕реНрдХреИрдирд┐рдВрдЧ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рд╕реБрд░рдХреНрд╖рд╛ рдФрд░ рдЕрдиреБрдкрд╛рд▓рди рдЧрд▓рдд рдХреЙрдиреНрдлрд╝рд┐рдЧрд░реЗрд╢рди рдХрд╛ рдкрддрд╛ рд▓рдЧрд╛рддрд╛ рд╣реИред
kube-score рдПрдХ рдЙрдкрдХрд░рдг рд╣реИ рдЬреЛ рдЖрдкрдХреЗ рдХреБрдмреЗрд░рдиреЗрдЯреНрд╕ рдСрдмреНрдЬреЗрдХреНрдЯ рдкрд░рд┐рднрд╛рд╖рд╛рдУрдВ рдХрд╛ рд╕реНрдереИрддрд┐рдХ рдХреЛрдб рд╡рд┐рд╢реНрд▓реЗрд╖рдг рдХрд░рддрд╛ рд╣реИред
рдЗрдВрд╕реНрдЯреЙрд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП:
рдЖрдк Pods рдХреЗ рд╕реБрд░рдХреНрд╖рд╛ рд╕рдВрджрд░реНрдн ( PodSecurityContext рдХреЗ рд╕рд╛рде) рдФрд░ рдХрдВрдЯреЗрдирд░реЛрдВ рдХрд╛ рд╕реБрд░рдХреНрд╖рд╛ рд╕рдВрджрд░реНрдн ( SecurityContext рдХреЗ рд╕рд╛рде) рдХреЙрдиреНрдлрд╝рд┐рдЧрд░ рдХрд░ рд╕рдХрддреЗ рд╣реИрдВ рдЬреЛ рдЪрд▓рд╛рдП рдЬрд╛рдиреЗ рд╡рд╛рд▓реЗ рд╣реИрдВред рдЕрдзрд┐рдХ рдЬрд╛рдирдХрд╛рд░реА рдХреЗ рд▓рд┐рдП рдкрдврд╝реЗрдВ:
рдпрд╣ рдмрд╣реБрдд рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ Kubernetes Api Server рддрдХ рдкрд╣реБрдБрдЪ рдХреА рд╕реБрд░рдХреНрд╖рд╛ рдХрд░реЗрдВ рдХреНрдпреЛрдВрдХрд┐ рдПрдХ рджреБрд░реНрднрд╛рд╡рдирд╛рдкреВрд░реНрдг рдЕрднрд┐рдиреЗрддрд╛ рдЬрд┐рд╕рдХреЗ рдкрд╛рд╕ рдкрд░реНрдпрд╛рдкреНрдд рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рд╣реИрдВ, рдЗрд╕рдХрд╛ рджреБрд░реБрдкрдпреЛрдЧ рдХрд░ рд╕рдХрддрд╛ рд╣реИ рдФрд░ рд╡рд╛рддрд╛рд╡рд░рдг рдХреЛ рдХрдИ рддрд░реАрдХреЛрдВ рд╕реЗ рдиреБрдХрд╕рд╛рди рдкрд╣реБрдБрдЪрд╛ рд╕рдХрддрд╛ рд╣реИред рдпрд╣ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░рдирд╛ рдорд╣рддреНрд╡рдкреВрд░реНрдг рд╣реИ рдХрд┐ рдкрд╣реБрдБрдЪ (whitelist рдЙрддреНрдкрддреНрддрд┐ рдХреЛ API Server рддрдХ рдкрд╣реБрдБрдЪрдиреЗ рдХреЗ рд▓рд┐рдП рдФрд░ рдХрд┐рд╕реА рдЕрдиреНрдп рдХрдиреЗрдХреНрд╢рди рдХреЛ рдЕрд╕реНрд╡реАрдХрд╛рд░ рдХрд░реЗрдВ) рдФрд░ рдкреНрд░рдорд╛рдгреАрдХрд░рдг ( рдХрдо рд╕реЗ рдХрдо рд╡рд┐рд╢реЗрд╖рд╛рдзрд┐рдХрд╛рд░ рдХреЗ рд╕рд┐рджреНрдзрд╛рдВрдд рдХрд╛ рдкрд╛рд▓рди рдХрд░рддреЗ рд╣реБрдП) рд╕реБрд░рдХреНрд╖рд┐рдд рд╣реЛред рдФрд░ рдирд┐рд╢реНрдЪрд┐рдд рд░реВрдк рд╕реЗ рдХрднреА рднреА рдЧреБрдордирд╛рдо рдЕрдиреБрд░реЛрдзреЛрдВ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рджреЗрдВред
рд╕рд╛рдорд╛рдиреНрдп рдЕрдиреБрд░реЛрдз рдкреНрд░рдХреНрд░рд┐рдпрд╛: рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдпрд╛ K8s ServiceAccount тАУ> рдкреНрд░рдорд╛рдгреАрдХрд░рдг тАУ> рдкреНрд░рд╛рдзрд┐рдХрд░рдг тАУ> рдкреНрд░рд╡реЗрд╢ рдирд┐рдпрдВрддреНрд░рдгред
рдЯрд┐рдкреНрд╕:
рдкреЛрд░реНрдЯ рдмрдВрдж рдХрд░реЗрдВред
рдЧреБрдордирд╛рдо рдкрд╣реБрдБрдЪ рд╕реЗ рдмрдЪреЗрдВред
NodeRestriction; API рд╕реЗ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдиреЛрдбреНрд╕ рд╕реЗ рдХреЛрдИ рдкрд╣реБрдБрдЪ рдирд╣реАрдВред
рдореВрд▓ рд░реВрдк рд╕реЗ kubelets рдХреЛ node-restriction.kubernetes.io/ рдЙрдкрд╕рд░реНрдЧ рдХреЗ рд╕рд╛рде рд▓реЗрдмрд▓ рдЬреЛрдбрд╝рдиреЗ/рд╣рдЯрд╛рдиреЗ/рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рд╕реЗ рд░реЛрдХрддрд╛ рд╣реИред рдпрд╣ рд▓реЗрдмрд▓ рдЙрдкрд╕рд░реНрдЧ рдкреНрд░рд╢рд╛рд╕рдХреЛрдВ рдХреЗ рд▓рд┐рдП рдЙрдирдХреЗ рдиреЛрдб рдСрдмреНрдЬреЗрдХреНрдЯреНрд╕ рдХреЛ рдХрд╛рд░реНрдпрднрд╛рд░ рдЕрд▓рдЧрд╛рд╡ рдХреЗ рдЙрджреНрджреЗрд╢реНрдпреЛрдВ рдХреЗ рд▓рд┐рдП рд▓реЗрдмрд▓ рдХрд░рдиреЗ рдХреЗ рд▓рд┐рдП рдЖрд░рдХреНрд╖рд┐рдд рд╣реИ, рдФрд░ kubelets рдХреЛ рдЙрд╕ рдЙрдкрд╕рд░реНрдЧ рдХреЗ рд╕рд╛рде рд▓реЗрдмрд▓ рдХреЛ рд╕рдВрд╢реЛрдзрд┐рдд рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рдирд╣реАрдВ рд╣реЛрдЧреАред
рдФрд░ рд╕рд╛рде рд╣реА, kubelets рдХреЛ рдЗрди рд▓реЗрдмрд▓реЛрдВ рдФрд░ рд▓реЗрдмрд▓ рдЙрдкрд╕рд░реНрдЧреЛрдВ рдХреЛ рдЬреЛрдбрд╝рдиреЗ/рд╣рдЯрд╛рдиреЗ/рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХреА рдЕрдиреБрдорддрд┐ рджреЗрддрд╛ рд╣реИред
рд▓реЗрдмрд▓ рдХреЗ рд╕рд╛рде рд╕реБрд░рдХреНрд╖рд┐рдд рдХрд╛рд░реНрдпрднрд╛рд░ рдЕрд▓рдЧрд╛рд╡ рд╕реБрдирд┐рд╢реНрдЪрд┐рдд рдХрд░реЗрдВред
API рдкрд╣реБрдБрдЪ рд╕реЗ рд╡рд┐рд╢рд┐рд╖реНрдЯ рдкреЙрдбреНрд╕ рдХреЛ рдмрдЪрд╛рдПрдБред
рдЗрдВрдЯрд░рдиреЗрдЯ рдкрд░ ApiServer рдХреЗ рдкреНрд░рджрд░реНрд╢рди рд╕реЗ рдмрдЪреЗрдВред
рдЕрдирдзрд┐рдХреГрдд рдкрд╣реБрдБрдЪ RBAC рд╕реЗ рдмрдЪреЗрдВред
рдлрд╝рд╛рдпрд░рд╡реЙрд▓ рдФрд░ IP whitelisting рдХреЗ рд╕рд╛рде ApiServer рдкреЛрд░реНрдЯред
рдбрд┐рдлрд╝реЙрд▓реНрдЯ рд░реВрдк рд╕реЗ, рдЬрдм рдХреЛрдИ рдкреЙрдб рд╢реБрд░реВ рдХрд┐рдпрд╛ рдЬрд╛рддрд╛ рд╣реИ рддреЛ рд░реВрдЯ рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд┐рдпрд╛ рдЬрд╛рдПрдЧрд╛ рдпрджрд┐ рдХреЛрдИ рдЕрдиреНрдп рдЙрдкрдпреЛрдЧрдХрд░реНрддрд╛ рдирд┐рд░реНрджрд┐рд╖реНрдЯ рдирд╣реАрдВ рдХрд┐рдпрд╛ рдЧрдпрд╛ рд╣реИред рдЖрдк рдирд┐рдореНрдирд▓рд┐рдЦрд┐рдд рдореЗрдВ рд╕реЗ рдПрдХ рдЯреЗрдореНрдкрд▓реЗрдЯ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рдХреЗ рдПрдХ рдЕрдзрд┐рдХ рд╕реБрд░рдХреНрд╖рд┐рдд рд╕рдВрджрд░реНрдн рдХреЗ рднреАрддрд░ рдЕрдкрдиреЗ рдПрдкреНрд▓рд┐рдХреЗрд╢рди рдХреЛ рдЪрд▓рд╛ рд╕рдХрддреЗ рд╣реИрдВ:
рдЖрдкрдХреЛ рдЕрдкрдиреЗ Kubernetes рд╡рд╛рддрд╛рд╡рд░рдг рдХреЛ рдЖрд╡рд╢реНрдпрдХрддрд╛рдиреБрд╕рд╛рд░ рдЕрдкрдбреЗрдЯ рдХрд░рдирд╛ рдЪрд╛рд╣рд┐рдП рддрд╛рдХрд┐:
рдирд┐рд░реНрднрд░рддрд╛рдПрдБ рдЕрджреНрдпрддрд┐рдд рд╣реЛрдВред
рдмрдЧ рдФрд░ рд╕реБрд░рдХреНрд╖рд╛ рдкреИрдЪред
рд░рд┐рд▓реАрдЬрд╝ рдЪрдХреНрд░: рд╣рд░ 3 рдорд╣реАрдиреЗ рдореЗрдВ рдПрдХ рдирдпрд╛ рдорд╛рдЗрдирд░ рд░рд┐рд▓реАрдЬрд╝ рд╣реЛрддрд╛ рд╣реИ -- 1.20.3 = 1(рдореБрдЦреНрдп).20(рдорд╛рдЗрдирд░).3(рдкреИрдЪ)
Kubernetes рдХреНрд▓рд╕реНрдЯрд░ рдХреЛ рдЕрдкрдбреЗрдЯ рдХрд░рдиреЗ рдХрд╛ рд╕рдмрд╕реЗ рдЕрдЪреНрдЫрд╛ рддрд░реАрдХрд╛ рд╣реИ (рдпрд╣рд╛рдВ рд╕реЗ рдпрд╣рд╛рдВ):
рдорд╛рд╕реНрдЯрд░ рдиреЛрдб рдШрдЯрдХреЛрдВ рдХреЛ рдЗрд╕ рдЕрдиреБрдХреНрд░рдо рдХрд╛ рдкрд╛рд▓рди рдХрд░рддреЗ рд╣реБрдП рдЕрдкрдЧреНрд░реЗрдб рдХрд░реЗрдВ:
etcd (рд╕рднреА рдЙрджрд╛рд╣рд░рдг)ред
kube-apiserver (рд╕рднреА рдирд┐рдпрдВрддреНрд░рдг рд╡рд┐рдорд╛рди рд╣реЛрд╕реНрдЯ)ред
kube-controller-managerред
kube-schedulerред
рдХреНрд▓рд╛рдЙрдб рдХрдВрдЯреНрд░реЛрд▓рд░ рдкреНрд░рдмрдВрдзрдХ, рдпрджрд┐ рдЖрдк рдПрдХ рдХрд╛ рдЙрдкрдпреЛрдЧ рдХрд░рддреЗ рд╣реИрдВред
рдХрд╛рд░реНрдпрдХрд░реНрддрд╛ рдиреЛрдб рдШрдЯрдХреЛрдВ рдЬреИрд╕реЗ kube-proxy, kubelet рдХреЛ рдЕрдкрдЧреНрд░реЗрдб рдХрд░реЗрдВред
рд╡рд┐рддрд░рдг | рдХрдорд╛рдВрдб / рд▓рд┐рдВрдХ |
---|---|
Learn & practice AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE) Learn & practice GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)