Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
Автором цієї сторінки є Guillaume
Мати огляд може допомогти зрозуміти, які правила активні, в якому режимі і хто може їх обійти.
ConstraintTemplate та Constraint можуть бути використані в Open Policy Agent (OPA) Gatekeeper для забезпечення правил на ресурсах Kubernetes.
Графічний інтерфейс користувача також може бути доступний для доступу до правил OPA за допомогою Gatekeeper Policy Manager. Це "проста тільки для читання веб-інтерфейс для перегляду статусу політик OPA Gatekeeper у кластері Kubernetes."
Шукайте відкритий сервіс:
Як показано на зображенні вище, певні правила можуть не застосовуватися універсально до всіх просторів імен або користувачів. Натомість вони працюють на основі білого списку. Наприклад, обмеження liveness-probe
виключено з застосування до п'яти зазначених просторів імен.
Завдяки всебічному огляду конфігурації Gatekeeper, можна виявити потенційні неправильні налаштування, які можуть бути використані для отримання привілеїв. Шукайте простори імен, що знаходяться в білому списку або виключені, де правило не застосовується, а потім здійснюйте свою атаку там.
Abusing Roles/ClusterRoles in KubernetesЩе один спосіб обійти обмеження - зосередитися на ресурсі ValidatingWebhookConfiguration :
Kubernetes ValidatingWebhookConfiguration