Kubernetes SecurityContext(s)

Apoie o HackTricks e obtenha benefícios!

Se você deseja ver sua empresa anunciada no HackTricks ou se deseja acessar a última versão do PEASS ou baixar o HackTricks em PDF, verifique os PLANOS DE ASSINATURA!
Obtenha o swag oficial do PEASS & HackTricks
Descubra The PEASS Family, nossa coleção exclusiva de NFTs
Junte-se ao 💬 grupo do Discord ou ao grupo do telegrama ou siga-me no Twitter 🐦 @carlospolopm.
Compartilhe suas técnicas de hacking enviando PRs para os repositórios do HackTricks e HackTricks Cloud github.

PodSecurityContext

Ao especificar o contexto de segurança de um Pod, você pode usar vários atributos. Do ponto de vista da segurança defensiva, você deve considerar:

Ter runASNonRoot como True
Configurar runAsUser
Se possível, considere limitar permissões indicando seLinuxOptions e seccompProfile
NÃO dê acesso de grupo privilegiado via runAsGroup e supplementaryGroups

fsGroup integer

Um grupo suplementar especial que se aplica a todos os contêineres em um pod. Alguns tipos de volume permitem que o Kubelet altere a propriedade desse volume para ser de propriedade do pod: 1. O GID proprietário será o FSGroup 2. O bit setgid é definido (novos arquivos criados no volume serão de propriedade do FSGroup) 3. Os bits de permissão são OR'd com rw-rw---- Se não estiver definido, o Kubelet não modificará a propriedade e as permissões de nenhum volume

| | ----------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------------- |

AnteriorKubernetes Hardening SiguienteGCP Pentesting

Última actualización hace 11 meses