Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Bu sayfanın orijinal yazarı Guillaume
Aktif olan kuralların, hangi modda olduklarının ve kimin bunları atlayabileceğini bilmek için bir genel bakışa sahip olmak faydalı olabilir.
ConstraintTemplate ve Constraint, Kubernetes kaynakları üzerinde kuralları uygulamak için Open Policy Agent (OPA) Gatekeeper'da kullanılabilir.
Gatekeeper Policy Manager ile OPA kurallarına erişmek için bir Grafik Kullanıcı Arayüzü de mevcut olabilir. Bu, "Kubernetes Kümesi'ndeki OPA Gatekeeper politikalarının durumunu görüntülemek için basit bir salt okunur web UI'dır."
Açık hizmeti arayın:
Yukarıdaki resimde gösterildiği gibi, belirli kurallar tüm ad alanları veya kullanıcılar üzerinde evrensel olarak uygulanmayabilir. Bunun yerine, beyaz listeye dayalı olarak çalışırlar. Örneğin, liveness-probe kısıtlaması, belirtilen beş ad alanına uygulanmaktan hariç tutulmuştur.
Gatekeeper yapılandırmasının kapsamlı bir incelemesi ile, ayrıcalık kazanmak için istismar edilebilecek potansiyel yanlış yapılandırmalar belirlenebilir. Kuralın uygulanmadığı beyaz listeye alınmış veya hariç tutulmuş ad alanlarını arayın ve ardından saldırınızı burada gerçekleştirin.
Kısıtlamaları aşmanın bir diğer yolu, ValidatingWebhookConfiguration kaynağına odaklanmaktır :
