OpenShift - SCC bypass
Mwandishi halisi wa ukurasa huu ni Guillaume
Nafasi za Haki Maalum
Kwa chaguo-msingi, SCC haitumiki kwenye miradi ifuatayo:
default
kube-system
kube-public
openshift-node
openshift-infra
openshift
Ikiwa unaweka podi ndani ya mojawapo ya nafasi hizo, hakuna SCC itakayotekelezwa, kuruhusu uwekaji wa podi zenye haki maalum au kufunga mfumo wa faili wa mwenyeji.
Lebo ya Nafasi
Kuna njia ya kulemaza maombi ya SCC kwenye podi yako kulingana na nyaraka za RedHat. Utahitaji kuwa na angalau moja ya ruhusa zifuatazo:
Unda Nafasi na Unda Podi kwenye Nafasi hii
Hariri Nafasi na Unda Podi kwenye Nafasi hii
The specific label openshift.io/run-level
enables users to circumvent SCCs for applications. As per RedHat documentation, when this label is utilized, no SCCs are enforced on all pods within that namespace, effectively removing any restrictions.
Ongeza Lebo
Kuongeza lebo katika eneo lako:
Kujenga eneo la jina na lebo kupitia faili ya YAML:
Sasa, vikasha vipya vyote vilivyoundwa kwenye eneo la jina haipaswi kuwa na SCC
Kukosekana kwa SCC, hakuna vizuizi kwenye ufafanuzi wa kasha lako. Hii inamaanisha kwamba kasha la nia mbaya linaweza kuundwa kwa urahisi ili kutoroka kwenye mfumo wa mwenyeji.
Sasa, imekuwa rahisi kuongeza mamlaka ya kupata mfumo wa mwenyeji na baadaye kuchukua udhibiti wa kikundi kizima, kupata mamlaka ya 'cluster-admin'. Tafuta sehemu ya Node-Post Exploitation kwenye ukurasa ufuatao:
Lebo za desturi
Zaidi ya hayo, kulingana na usanidi wa lengo, baadhi ya lebo / maandishi ya desturi yanaweza kutumika kwa njia ile ile kama hali ya shambulio la awali. Hata kama sio kwa hiyo, lebo inaweza kutumika kutoa ruhusa, kizuia au la si rasilimali maalum.
Jaribu kutafuta lebo za desturi ikiwa unaweza kusoma baadhi ya rasilimali. Hapa kuna orodha ya rasilimali za kuvutia:
Pod
Deployment
Namespace
Service
Route
Orodhesha majina ya nafasi zenye mamlaka
Shambulizi la juu
Katika OpenShift, kama ilivyodhihirishwa awali, kuwa na idhini ya kuweka podi katika eneo la jina lenye lebo ya openshift.io/run-level
inaweza kusababisha kuchukuliwa kwa urahisi wa kikundi. Kutoka mtazamo wa mipangilio ya kikundi, hii haiwezi kuzimwa, kwani ni sehemu ya kubuni ya OpenShift.
Hata hivyo, hatua za kupunguza madhara kama Open Policy Agent GateKeeper inaweza kuzuia watumiaji kuweka lebo hii.
Ili kudukua sheria za GateKeeper na kuweka lebo hii kutekeleza kuchukua kikundi, wadukuzi watahitaji kutambua njia mbadala.
Marejeo
Last updated