Kubernetes OPA Gatekeeper bypass
Last updated
Last updated
该页面的原作者是 Guillaume
了解概况可能有助于知道哪些规则是活动的,处于什么模式,以及谁可以绕过它。
ConstraintTemplate 和 Constraint 可以在 Open Policy Agent (OPA) Gatekeeper 中用于对 Kubernetes 资源执行规则。
可以使用 Gatekeeper Policy Manager 访问 OPA 规则。它是“一个简单的 只读 网络用户界面,用于查看 Kubernetes 集群中 OPA Gatekeeper 策略的状态。”
搜索暴露的服务:
如上图所示,某些规则可能不会在所有命名空间或用户中普遍适用。相反,它们是基于白名单的。例如,liveness-probe
约束被排除在五个指定的命名空间之外。
通过全面了解 Gatekeeper 配置,可以识别潜在的错误配置,这些配置可能被利用以获取权限。寻找白名单或排除的命名空间,在这些地方规则不适用,然后在那里进行攻击。
绕过约束的另一种方法是关注 ValidatingWebhookConfiguration 资源 :