Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Mwandishi wa awali wa ukurasa huu ni Guillaume
Kuwa na muonekano wa jumla kunaweza kusaidia kujua ni sheria zipi zinafanya kazi, katika hali gani na nani anaweza kuzipita.
ConstraintTemplate na Constraint zinaweza kutumika katika Open Policy Agent (OPA) Gatekeeper kutekeleza sheria kwenye rasilimali za Kubernetes.
Kiolesura cha Mtumiaji wa Picha kinaweza pia kupatikana ili kufikia sheria za OPA na Gatekeeper Policy Manager. Ni "kiolesura rahisi cha kusoma pekee cha wavuti kwa ajili ya kutazama hali ya sera za OPA Gatekeeper katika Kundi la Kubernetes."
Tafuta huduma iliyofichuliwa:
Kama inavyoonyeshwa katika picha hapo juu, sheria fulani zinaweza kutotumika kwa ujumla katika majina yote au watumiaji. Badala yake, zinafanya kazi kwa msingi wa orodha ya ruhusa. Kwa mfano, kizuizi cha liveness-probe hakijajumuishwa katika kutumika kwa majina matano yaliyotajwa.
Kwa muonekano wa kina wa usanidi wa Gatekeeper, inawezekana kubaini uwezekano wa makosa ya usanidi ambayo yanaweza kutumika kupata haki. Tafuta majina yaliyotolewa ruhusa au yaliyotengwa ambapo sheria haitumiki, kisha fanya shambulio lako hapo.
Abusing Roles/ClusterRoles in KubernetesNjia nyingine ya kupita vikwazo ni kuzingatia rasilimali ya ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfiguration