Openshift - SCC

Mwandishi halisi wa ukurasa huu ni Guillaume

Ufafanuzi

Katika muktadha wa OpenShift, SCC inasimama kwa Security Context Constraints. Security Context Constraints ni sera zinazodhibiti ruhusa kwa pods zinazoendesha kwenye vikundi vya OpenShift. Zinadefini paramita za usalama ambazo pod inaruhusiwa kuendesha chini yake, ikiwa ni pamoja na vitendo gani inaweza kutekeleza na ni rasilimali gani inaweza kupata.

SCCs husaidia wakurugenzi kutekeleza sera za usalama kote kwenye kikundi, kuhakikisha kuwa pods zinaendesha na ruhusa sahihi na kufuata viwango vya usalama vya shirika. Vizuizi hivi vinaweza kufafanua vipengele mbalimbali vya usalama wa pod, kama vile:

Uwezo wa Linux: Kizuia uwezo uliopo kwa vyombo, kama uwezo wa kutekeleza vitendo vya kipekee.
Muktadha wa SELinux: Kutekeleza muktadha wa SELinux kwa vyombo, ambao hufafanua jinsi michakato inavyoshirikiana na rasilimali kwenye mfumo.
Mfumo wa mizizi wa kusoma tu: Kuzuia vyombo kuhariri faili katika saraka fulani.
Saraka na vifaa vya mwenyeji vinavyoruhusiwa: Kufafanua ni saraka na vifaa vya mwenyeji vipi pod inaweza kufunga.
Tekeleza kama UID/GID: Kufafanua kitambulisho cha mtumiaji na kikundi ambacho mchakato wa chombo unafanya kazi chini yake.
Sera za mtandao: Kudhibiti upatikanaji wa mtandao kwa pods, kama kuzuia trafiki ya kutoka.

Kwa kusanidi SCCs, wakurugenzi wanaweza kuhakikisha kuwa pods zinaendesha na kiwango sahihi cha kujitenga kiusalama na udhibiti wa upatikanaji, kupunguza hatari ya mapungufu ya usalama au upatikanaji usiohalali ndani ya kikundi.

Kimsingi, kila wakati ombi la kupeleka pod linahitajika, mchakato wa idhini unatekelezwa kama ifuatavyo:

Tabaka hili la ziada la usalama kwa chaguo-msingi linazuia uundaji wa pods zenye haki za kipekee, kufunga mfumo wa faili wa mwenyeji, au kuweka sifa yoyote inayoweza kusababisha ongezeko la haki za kipekee.

Pod Escape Privileges

Orodha ya SCC

Kutaja SCC zote na Mteja wa Openshift:

$ oc get scc #List all the SCCs

$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use

$ oc describe scc $SCC #Check SCC definitions

Watumiaji wote wana ufikivu wa SCC ya msingi "iliyozuiwa" na "iliyozuiwa-v2" ambazo ni SCC za mkali zaidi.

Tumia SCC

SCC inayotumiwa kwa podi imedhamiriwa ndani ya maandishi ya maelezo:

$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged

Wakati mtumiaji ana ufikiaji wa SCCs nyingi, mfumo utatumia ile inayolingana na thamani za muktadha wa usalama. Vinginevyo, itasababisha kosa la kupigwa marufuku.

$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain

Kupuuza SCC

OpenShift - SCC bypass

Marejeo

https://www.redhat.com/en/blog/managing-sccs-in-openshift

PreviousOpenShift - Basic information NextOpenShift - Jenkins

Last updated 5 months ago

Ufafanuzi

Uwezo wa Linux: Kizuia uwezo uliopo kwa vyombo, kama uwezo wa kutekeleza vitendo vya kipekee.

Muktadha wa SELinux: Kutekeleza muktadha wa SELinux kwa vyombo, ambao hufafanua jinsi michakato inavyoshirikiana na rasilimali kwenye mfumo.

Mfumo wa mizizi wa kusoma tu: Kuzuia vyombo kuhariri faili katika saraka fulani.

Saraka na vifaa vya mwenyeji vinavyoruhusiwa: Kufafanua ni saraka na vifaa vya mwenyeji vipi pod inaweza kufunga.

Tekeleza kama UID/GID: Kufafanua kitambulisho cha mtumiaji na kikundi ambacho mchakato wa chombo unafanya kazi chini yake.

Sera za mtandao: Kudhibiti upatikanaji wa mtandao kwa pods, kama kuzuia trafiki ya kutoka.