Openshift - SCC

इस पृष्ठ के मूल लेखक हैं Guillaume

परिभाषा

OpenShift के संदर्भ में, SCC सुरक्षा संदर्भ प्रतिबंध के लिए खड़ा है। सुरक्षा संदर्भ प्रतिबंध पॉड्स के लिए अनुमतियों को नियंत्रित करने वाली नीतियाँ हैं जो OpenShift क्लस्टर पर चल रहे हैं। ये पॉड के लिए सुरक्षा पैरामीटर्स को परिभाषित करते हैं जिसके अंतर्गत एक पॉड को चलाने की अनुमति है, जिसमें यह निर्धारित किया जाता है कि वह क्या क्रियाएँ कर सकता है और किन संसाधनों तक पहुंच सकता है।

SCCs प्रबंधकों को क्लस्टर के अधिनियमन की सुरक्षा नीतियों को प्रवर्तित करने में मदद करते हैं, सुनिश्चित करते हैं कि पॉड उचित अनुमतियों के साथ चल रहे हैं और संगठनात्मक सुरक्षा मानकों का पालन कर रहे हैं। ये प्रतिबंध विभिन्न पहलुओं को निर्दिष्ट कर सकते हैं, जैसे:

1. लिनक्स क्षमताएँ: कंटेनर्स के लिए उपलब्ध क्षमताओं को सीमित करना, जैसे विशेषाधिकार क्रियाएँ करने की क्षमता।

2. SELinux संदर्भ: कंटेनर्स के लिए SELinux संदर्भों को प्रवर्तित करना, जो प्रक्रियाएँ सिस्टम पर संसाधनों के साथ कैसे बातचीत करती हैं।

3. केवल पढ़ने योग्य रूट फ़ाइल सिस्टम: कंटेनर्स को कुछ निर्दिष्ट निर्देशिकाओं में फ़ाइलों को संशोधित करने से रोकना।

4. अनुमत होस्ट निर्देशिकाएँ और वॉल्यूम: निर्देशित करना कि कौन से होस्ट निर्देशिकाएँ और वॉल्यूम्स एक पॉड माउंट कर सकता है।

5. UID/GID के रूप में चलाएं: उपयोगकर्ता और समूह आईडी निर्दिष्ट करना जिसके तहत कंटेनर प्रक्रिया चलती है।

6. नेटवर्क नीतियाँ: पॉड्स के लिए नेटवर्क पहुंच को नियंत्रित करना, जैसे निषेध यातायात।

SCCs को कॉन्फ़िगर करके, प्रबंधक सुनिश्चित कर सकते हैं कि पॉड्स उचित स्तर की सुरक्षा अलगाव और पहुंच नियंत्रण के साथ चल रहे हैं, क्लस्टर में सुरक्षा संवृद्धियों या अनधिकृत पहुंच के जोखिम को कम करते हैं।

मूल रूप से, हर बार जब एक पॉड डिप्लॉयमेंट का अनुरोध किया जाता है, तो एक प्रवेश प्रक्रिया का निष्पादन किया जाता है जैसे निम्नलिखित:

यह अतिरिक्त सुरक्षा स्तर डिफ़ॉल्ट रूप से विशेषाधिकारित पॉड्स की सृष्टि, होस्ट फ़ाइल सिस्टम का माउंटिंग, या किसी भी विशेषताओं को सेट करने की निषेध करता है जो विशेषाधिकार बढ़ाने की ओर ले जा सकते हैं।

सूची SCC

Openshift Client के साथ सभी SCC की सूची देखने के लिए:

$ oc get scc #List all the SCCs

$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use

$ oc describe scc $SCC #Check SCC definitions

सभी उपयोगकर्ताओं को डिफ़ॉल्ट SCC "restricted" और "restricted-v2" तक पहुंच है जो सबसे सख्त SCCs हैं।

SCC का उपयोग

Pod के लिए उपयोग किए जाने वाले SCC को एक एनोटेशन के अंदर परिभाषित किया जाता है:

$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged

जब एक उपयोगकर्ता के पास कई SCCs तक पहुंच होती है, तो सिस्टम उस SCC का उपयोग करेगा जो सुरक्षा संदर्भ मानों के साथ मेल खाता है। अन्यथा, यह एक निषिद्ध त्रुटि को ट्रिगर करेगा।

$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain

SCC बायपास

संदर्भ

• https://www.redhat.com/en/blog/managing-sccs-in-openshift