Kubernetes SecurityContext(s)
PodSecurityContext
Al especificar el contexto de seguridad de un Pod, se pueden utilizar varios atributos. Desde un punto de vista de seguridad defensiva, se debe considerar:
Tener runASNonRoot como True
Configurar runAsUser
Si es posible, considere limitar los permisos indicando seLinuxOptions y seccompProfile
NO otorgue acceso de grupo privilegiado a través de runAsGroup y supplementaryGroups
fsGroup integer | Un grupo suplementario especial que se aplica a todos los contenedores en un pod. Algunos tipos de volumen permiten que Kubelet cambie la propiedad de ese volumen para que sea propiedad del pod: 1. El GID propietario será FSGroup 2. Se establece el bit setgid (los nuevos archivos creados en el volumen serán propiedad de FSGroup) 3. Los bits de permiso se OR'd con rw-rw---- Si no se establece, Kubelet no modificará la propiedad y los permisos de ningún volumen |
Última actualización