OpenShift - Missing Service Account

Nedostajući servisni nalog

Dešava se da je klaster implementiran sa unapred konfigurisanim predloškom koji automatski postavlja Uloge, Povezivanja uloga (RoleBindings) čak i SCC na servisni nalog koji još nije kreiran. Ovo može dovesti do eskalacije privilegija u slučaju da ih možete kreirati. U tom slučaju, bili biste u mogućnosti da dobijete token SA koji je novo kreiran i ulogu ili SCC koji su povezani. Ista situacija se dešava kada nedostajući SA pripada nedostajućem projektu, u ovom slučaju, ako možete kreirati projekat, a zatim i SA, dobijate Uloge i SCC koji su povezani.

Na prethodnom grafikonu imamo više OdsutnihProjekata što znači da se pojavljuju u Povezivanjima uloga ili SCC, ali još nisu kreirani u klasteru. Na isti način, imamo i OdsutniServisniNalog.

Ako možemo kreirati projekat i nedostajući SA u njemu, SA će naslediti Ulogu ili SCC koji su bili usmereni na OdsutniServisniNalog. Što može dovesti do eskalacije privilegija.

Sledeći primer prikazuje nedostajući SA kojem je dodeljen node-exporter SCC:

Alati

Sledeći alat može se koristiti za enumeraciju ovog problema i općenito za grafički prikaz OpenShift klastera: