Kubernetes SecurityContext(s)

¡Apoya a HackTricks y obtén beneficios!

Si quieres ver a tu empresa anunciada en HackTricks o si quieres acceder a la última versión de PEASS o descargar HackTricks en PDF ¡Consulta los PLANES DE SUSCRIPCIÓN!
Obtén el oficial PEASS & HackTricks swag
Descubre The PEASS Family, nuestra colección de NFTs exclusivos.
Únete al 💬 grupo de Discord o al grupo de telegram o sígueme en Twitter 🐦 @carlospolopm.
Comparte tus trucos de hacking enviando PR a los repositorios de GitHub de HackTricks y HackTricks Cloud.

PodSecurityContext

Al especificar el contexto de seguridad de un Pod, se pueden utilizar varios atributos. Desde un punto de vista de seguridad defensiva, se debe considerar:

Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considere limitar los permisos indicando seLinuxOptions y seccompProfile
NO otorgue acceso de grupo privilegiado a través de runAsGroup y supplementaryGroups

fsGroup integer

Un grupo suplementario especial que se aplica a todos los contenedores en un pod. Algunos tipos de volumen permiten que Kubelet cambie la propiedad de ese volumen para que sea propiedad del pod: 1. El GID propietario será FSGroup 2. Se establece el bit setgid (los nuevos archivos creados en el volumen serán propiedad de FSGroup) 3. Los bits de permiso se OR'd con rw-rw---- Si no se establece, Kubelet no modificará la propiedad y los permisos de ningún volumen

fsGroupChangePolicy <

AnteriorKubernetes Hardening SiguienteGCP Pentesting

Última actualización hace 1 año