HackTricks CloudKubernetes SecurityContext(s)
Reading time: 9 minutes
tip
Lernen & üben Sie AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: 
HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: 
HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.
PodSecurityContext
Beim Festlegen des Sicherheitskontexts eines Pods können Sie mehrere Attribute verwenden. Aus der Sicht der defensiven Sicherheit sollten Sie Folgendes berücksichtigen:
- runASNonRoot auf True setzen
- runAsUser konfigurieren
- Wenn möglich, Berechtigungen einschränken, indem Sie seLinuxOptions und seccompProfile angeben
- Geben Sie keinen Zugriff auf Privilegierte Gruppen über runAsGroup und supplementaryGroups
| Parameter | Beschreibung | |
fsGroup
integer
Eine spezielle ergänzende Gruppe, die auf alle Container in einem Pod angewendet wird. Einige Volumentypen erlauben es dem Kubelet, den Besitz dieses Volumens zu ändern, sodass es dem Pod gehört:
1. Die besitzende GID wird die FSGroup sein
2. Das setgid-Bit ist gesetzt (neue Dateien, die im Volumen erstellt werden, gehören zur FSGroup)
3. Die Berechtigungsbits werden mit rw-rw---- OR'd. Wenn nicht gesetzt, wird das Kubelet den Besitz und die Berechtigungen eines Volumens nicht ändern
|
fsGroupChangePolicy
string
runAsGroup
integer
runAsNonRoot
boolean
runAsUser
integer
seLinuxOptions
SELinuxOptions
Weitere Informationen über seLinux
seccompProfile
SeccompProfile
Weitere Informationen über Seccomp
supplementalGroups
integer array
sysctls
Sysctl array
Weitere Informationen über sysctls
windowsOptions
WindowsSecurityContextOptions
SecurityContext
Dieser Kontext wird innerhalb der Containerdefinitionen festgelegt. Aus der Sicht der defensiven Sicherheit sollten Sie Folgendes berücksichtigen:
- allowPrivilegeEscalation auf False
- Fügen Sie keine sensiblen Capabilities hinzu (und entfernen Sie die, die Sie nicht benötigen)
- privileged auf False
- Wenn möglich, setzen Sie readOnlyFilesystem auf True
- Setzen Sie runAsNonRoot auf True und setzen Sie eine runAsUser
- Wenn möglich, Berechtigungen einschränken, indem Sie seLinuxOptions und seccompProfile angeben
- Geben Sie keinen Zugriff auf Privilegierte Gruppen über runAsGroup.
Beachten Sie, dass die in SecurityContext und PodSecurityContext festgelegten Attribute, der in SecurityContext angegebene Wert Vorrang hat.
allowPrivilegeEscalation | AllowPrivilegeEscalation steuert, ob ein Prozess mehr Privilegien als sein übergeordneter Prozess erlangen kann. Dieses Bool steuert direkt, ob das no_new_privs-Flag für den Containerprozess gesetzt wird. AllowPrivilegeEscalation ist immer wahr, wenn der Container als Privileged ausgeführt wird oder CAP_SYS_ADMIN hat. |
|---|---|
capabilities | Die Capabilities, die beim Ausführen von Containern hinzugefügt/entfernt werden sollen. Standardmäßig wird die Standardmenge an Capabilities verwendet. |
privileged | Führen Sie den Container im privilegierten Modus aus. Prozesse in privilegierten Containern sind im Wesentlichen gleichwertig mit Root auf dem Host. Standardmäßig ist dies falsch. |
procMount | procMount bezeichnet den Typ des proc-Mounts, der für die Container verwendet werden soll. Der Standardwert ist DefaultProcMount, der die Standardwerte der Containerlaufzeit für schreibgeschützte Pfade und maskierte Pfade verwendet. |
readOnlyRootFilesystem | Ob dieser Container ein schreibgeschütztes Root-Dateisystem hat. Der Standardwert ist falsch. |
runAsGroup | Die GID, unter der der Einstiegspunkt des Containerprozesses ausgeführt wird. Verwendet den Standardwert zur Laufzeit, wenn nicht gesetzt. |
runAsNonRoot | Gibt an, dass der Container als ein Nicht-Root-Benutzer ausgeführt werden muss. Wenn dies wahr ist, validiert das Kubelet das Image zur Laufzeit, um sicherzustellen, dass es nicht als UID 0 (Root) ausgeführt wird, und schlägt fehl, den Container zu starten, wenn dies der Fall ist. |
runAsUser | Die UID, unter der der Einstiegspunkt des Containerprozesses ausgeführt wird. Standardmäßig wird der Benutzer verwendet, der in den Metadaten des Images angegeben ist, wenn nicht angegeben. |
seLinuxOptions | Der SELinux-Kontext, der auf den Container angewendet werden soll. Wenn nicht angegeben, weist die Containerlaufzeit jedem Container einen zufälligen SELinux-Kontext zu. |
| Die seccomp-Optionen, die von diesem Container verwendet werden sollen. | |
| Die Windows-spezifischen Einstellungen, die auf alle Container angewendet werden. |
References
- https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core
- https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core
tip
Lernen & üben Sie AWS Hacking:HackTricks Training AWS Red Team Expert (ARTE)
Lernen & üben Sie GCP Hacking: HackTricks Training GCP Red Team Expert (GRTE)
Lernen & üben Sie Azure Hacking: HackTricks Training Azure Red Team Expert (AzRTE)
Unterstützen Sie HackTricks
- Überprüfen Sie die Abonnementpläne!
- Treten Sie der 💬 Discord-Gruppe oder der Telegram-Gruppe bei oder folgen Sie uns auf Twitter 🐦 @hacktricks_live.
- Teilen Sie Hacking-Tricks, indem Sie PRs an die HackTricks und HackTricks Cloud GitHub-Repos senden.