HackTricks CloudOpenshift - SCC
Tip
Apprenez & pratiquez AWS Hacking:
HackTricks Training AWS Red Team Expert (ARTE)
Apprenez & pratiquez GCP Hacking:HackTricks Training GCP Red Team Expert (GRTE)
Apprenez & pratiquez Az Hacking:HackTricks Training Azure Red Team Expert (AzRTE)
Soutenez HackTricks
- Consultez les subscription plans!
- Rejoignez le đŹ Discord group ou le telegram group ou suivez-nous sur Twitter đŠ @hacktricks_live.
- Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.
Lâauteur original de cette page est Guillaume
DĂ©finition
Dans le contexte dâOpenShift, SCC signifie Security Context Constraints. Les Security Context Constraints sont des politiques qui contrĂŽlent les permissions pour les pods exĂ©cutĂ©s sur les clusters OpenShift. Elles dĂ©finissent les paramĂštres de sĂ©curitĂ© sous lesquels un pod est autorisĂ© Ă sâexĂ©cuter, y compris les actions quâil peut effectuer et les ressources auxquelles il peut accĂ©der.
Les SCC aident les administrateurs Ă appliquer des politiques de sĂ©curitĂ© Ă travers le cluster, garantissant que les pods sâexĂ©cutent avec des permissions appropriĂ©es et respectent les normes de sĂ©curitĂ© organisationnelles. Ces contraintes peuvent spĂ©cifier divers aspects de la sĂ©curitĂ© des pods, tels que :
- CapacitĂ©s Linux : Limiter les capacitĂ©s disponibles pour les conteneurs, comme la capacitĂ© dâeffectuer des actions privilĂ©giĂ©es.
- Contexte SELinux : Appliquer des contextes SELinux pour les conteneurs, qui définissent comment les processus interagissent avec les ressources sur le systÚme.
- SystĂšme de fichiers racine en lecture seule : EmpĂȘcher les conteneurs de modifier des fichiers dans certains rĂ©pertoires.
- Répertoires et volumes hÎtes autorisés : Spécifier quels répertoires et volumes hÎtes un pod peut monter.
- ExĂ©cuter en tant que UID/GID : SpĂ©cifier les identifiants dâutilisateur et de groupe sous lesquels le processus du conteneur sâexĂ©cute.
- Politiques rĂ©seau : ContrĂŽler lâaccĂšs rĂ©seau pour les pods, comme restreindre le trafic sortant.
En configurant les SCC, les administrateurs peuvent sâassurer que les pods sâexĂ©cutent avec le niveau appropriĂ© dâisolement de sĂ©curitĂ© et de contrĂŽles dâaccĂšs, rĂ©duisant ainsi le risque de vulnĂ©rabilitĂ©s de sĂ©curitĂ© ou dâaccĂšs non autorisĂ© au sein du cluster.
Fondamentalement, chaque fois quâun dĂ©ploiement de pod est demandĂ©, un processus dâadmission est exĂ©cutĂ© comme suit :
Cette couche de sĂ©curitĂ© supplĂ©mentaire interdit par dĂ©faut la crĂ©ation de pods privilĂ©giĂ©s, le montage du systĂšme de fichiers hĂŽte, ou la dĂ©finition dâattributs pouvant conduire Ă une Ă©lĂ©vation de privilĂšges.
Liste SCC
Pour lister tous les SCC avec le client Openshift :
$ oc get scc #List all the SCCs
$ oc auth can-i --list | grep securitycontextconstraints #Which scc user can use
$ oc describe scc $SCC #Check SCC definitions
Tous les utilisateurs ont accĂšs aux SCC par dĂ©faut ârestrictedâ et ârestricted-v2â qui sont les SCC les plus stricts.
Utiliser SCC
Le SCC utilisé pour un pod est défini dans une annotation :
$ oc get pod MYPOD -o yaml | grep scc
openshift.io/scc: privileged
Lorsque un utilisateur a accÚs à plusieurs SCC, le systÚme utilisera celui qui correspond aux valeurs de contexte de sécurité. Sinon, il déclenchera une erreur interdite.
$ oc apply -f evilpod.yaml #Deploy a privileged pod
Error from server (Forbidden): error when creating "evilpod.yaml": pods "evilpod" is forbidden: unable to validate against any security context constrain
Contournement de SCC
Références
Tip
Apprenez & pratiquez AWS Hacking:
Apprenez & pratiquez GCP Hacking:
Apprenez & pratiquez Az Hacking:Soutenez HackTricks
- Consultez les subscription plans!
- Rejoignez le đŹ Discord group ou le telegram group ou suivez-nous sur Twitter đŠ @hacktricks_live.
- Partagez des hacking tricks en soumettant des PRs aux HackTricks et HackTricks Cloud github repos.