Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Originalni autor ove stranice je Guillaume
Imati pregled može pomoći da se zna koja su pravila aktivna, u kojem režimu i ko može da ih zaobiđe.
ConstraintTemplate i Constraint mogu se koristiti u Open Policy Agent (OPA) Gatekeeper-u za sprovođenje pravila na Kubernetes resursima.
Grafički korisnički interfejs može biti dostupan za pristup OPA pravilima uz Gatekeeper Policy Manager. To je "jednostavan samo-za-čitanje web UI za pregled statusa OPA Gatekeeper politika u Kubernetes klasteru."
Pretražite izloženu uslugu:
Kao što je prikazano na gornjoj slici, određena pravila se možda neće primenjivati univerzalno na sve namespace-ove ili korisnike. Umesto toga, funkcionišu na osnovu bele liste. Na primer, liveness-probe ograničenje je isključeno iz primene na pet navedenih namespace-ova.
Sa sveobuhvatnim pregledom Gatekeeper konfiguracije, moguće je identifikovati potencijalne pogrešne konfiguracije koje bi mogle biti iskorišćene za sticanje privilegija. Potražite namespace-ove koji su na beloj listi ili isključeni gde pravilo ne važi, a zatim izvršite svoj napad tamo.
Abusing Roles/ClusterRoles in KubernetesJoš jedan način za zaobilaženje ograničenja je fokusiranje na ValidatingWebhookConfiguration resurs :
Kubernetes ValidatingWebhookConfiguration