Kubernetes - OPA Gatekeeper bypass
Mwandishi halisi wa ukurasa huu ni Guillaume
Kutumia upangiaji mbaya
Kuchambua sheria
Kuwa na muhtasari kunaweza kusaidia kujua ni sheria zipi zinazofanya kazi, kwa hali gani na nani anaweza kuzipita.
Kwa kutumia CLI
ConstraintTemplate na Constraint zinaweza kutumika katika Open Policy Agent (OPA) Gatekeeper kutekeleza sheria kwenye rasilimali za Kubernetes.
Kwa GUI
Kiolesura cha Mtumiaji cha Picha kinaweza pia kupatikana kufikia sheria za OPA na Meneja wa Sera ya Gatekeeper. Ni "UI ya wavuti ya soma tu ya kuona hali ya sera za OPA Gatekeeper katika Kikundi cha Kubernetes."
Tafuta njia iliyofichuliwa:
Majina ya nafasi zilizotengwa
Kama ilivyoonyeshwa kwenye picha hapo juu, baadhi ya sheria huenda zisitumike kwa njia ya kipekee kote kwenye majina ya nafasi au watumiaji. Badala yake, zinafanya kazi kwa msingi wa orodha ya kibali. Kwa mfano, kizuizi cha liveness-probe kimeondolewa kutumika kwa majina ya nafasi tano zilizotajwa.
Kupita
Kwa muhtasari kamili wa usanidi wa Gatekeeper, ni rahisi kutambua upangaji mbaya wa mazingira ambao unaweza kutumiwa kwa faida ya kupata mamlaka. Tafuta majina ya nafasi yaliyoorodheshwa au yaliyotengwa ambapo sheria haiwafai, kisha tekeleza shambulio lako hapo.
Abusing Roles/ClusterRoles in KubernetesMarejeo
Last updated
