Kubernetes Kyverno bypass

Bu sayfanın orijinal yazarı Guillaume

Politika yanlış yapılandırmalarını istismar etme

Kuralları listeleme

Bir genel bakışa sahip olmak, hangi kuralların aktif olduğunu, hangi modda olduğunu ve kimin bunları atlayabileceğini bilmeye yardımcı olabilir.

$ kubectl get clusterpolicies
$ kubectl get policies

Hariç Tutanları Say

Her ClusterPolicy ve Policy için, hariç tutulan varlıkların bir listesini belirtebilirsiniz, bunlar arasında:

• Gruplar: excludedGroups

• Kullanıcılar: excludedUsers

• Servis Hesapları (SA): excludedServiceAccounts

• Roller: excludedRoles

• Küme Rolleri: excludedClusterRoles

Bu hariç tutulan varlıklar, politika gerekliliklerinden muaf tutulacak ve Kyverno bu varlıklar için politikayı uygulamayacaktır.

Örnek

Bir clusterpolicy örneğine dalalım :

$ kubectl get clusterpolicies MYPOLICY -o yaml

Excluded varlıkları arayın :

exclude:
any:
- clusterRoles:
- cluster-admin
- subjects:
- kind: User
name: system:serviceaccount:DUMMYNAMESPACE:admin
- kind: User
name: system:serviceaccount:TEST:thisisatest
- kind: User
name: system:serviceaccount:AHAH:*

Küme içinde, birçok ek bileşen, operatör ve uygulama, bir küme politikasından muaf tutulmayı gerektirebilir. Ancak, bu, ayrıcalıklı varlıkları hedef alarak istismar edilebilir. Bazı durumlarda, bir ad alanının mevcut olmadığı veya bir kullanıcıyı taklit etme izninizin olmadığı görünebilir; bu, yanlış yapılandırmanın bir işareti olabilir.

ValidatingWebhookConfiguration'ı İstismar Etme

Politikaları atlatmanın bir diğer yolu, ValidatingWebhookConfiguration kaynağına odaklanmaktır :