Kubernetes Kyverno bypass
Оригінальний автор цієї сторінки Guillaume
Зловживання неправильними налаштуваннями політик
Перерахунок правил
Мати огляд може допомогти зрозуміти, які правила активні, в якому режимі і хто може їх обійти
Перерахування виключених
Для кожної ClusterPolicy та Policy ви можете вказати список виключених сутностей, включаючи:
Групи:
excludedGroups
Користувачі:
excludedUsers
Облікові записи служб (SA):
excludedServiceAccounts
Ролі:
excludedRoles
Кластерні ролі:
excludedClusterRoles
Ці виключені сутності будуть звільнені від вимог політики, і Kyverno не буде застосовувати політику до них.
Приклад
Давайте розглянемо один приклад clusterpolicy :
Шукайте виключені сутності :
У кластері численні додаткові компоненти, оператори та програми можуть вимагати виключення з політики кластера. Однак це може бути використано шляхом націлювання на привілейовані сутності. У деяких випадках може здаватися, що простір імен не існує або що у вас немає дозволу на імітацію користувача, що може бути ознакою неправильного налаштування.
Зловживання ValidatingWebhookConfiguration
Ще один спосіб обійти політики - зосередитися на ресурсі ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfigurationLast updated