Kubernetes Kyverno bypass
L'autore originale di questa pagina è Guillaume
Abusare della misconfigurazione delle politiche
Enumerare le regole
Avere una panoramica può aiutare a sapere quali regole sono attive, in quale modalità e chi può bypassarle.
Enumerare Esclusi
Per ogni ClusterPolicy e Policy, puoi specificare un elenco di entità escluse, inclusi:
Gruppi:
excludedGroups
Utenti:
excludedUsers
Account di Servizio (SA):
excludedServiceAccounts
Ruoli:
excludedRoles
Ruoli di Cluster:
excludedClusterRoles
Queste entità escluse saranno esenti dai requisiti della policy, e Kyverno non applicherà la policy per loro.
Esempio
Esploriamo un esempio di clusterpolicy :
Cerca le entità escluse :
All'interno di un cluster, numerosi componenti, operatori e applicazioni aggiunti possono richiedere l'esclusione da una policy del cluster. Tuttavia, questo può essere sfruttato prendendo di mira entità privilegiate. In alcuni casi, può sembrare che uno spazio dei nomi non esista o che tu non abbia il permesso di impersonare un utente, il che può essere un segno di misconfigurazione.
Abusare di ValidatingWebhookConfiguration
Un altro modo per bypassare le policy è concentrarsi sulla risorsa ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfigurationLast updated