k8s,1.修改容器内主机名和/etc/hosts 文件,2.root特权容器,3.pod安全策略(基于名称空间
1.修改容器内主机名和/etc/hosts 文件,让持久生效,通过修改资源清单方式---kind: PodapiVersion: v1metadata:name: rootspec:hostname: myhost # 修改主机名hostAliases: # 修改 /etc/hosts- ip: 192.168.88.240 # IP 地址hostnames: # 名称键值对- harbor # 主机名containers:- name: apacheimage: myos:httpd
2.root特权容器1.系统进程特权,可以引起宿主机数据的变更hostPID: true # 特权,共享系统进程2.pod容器网络特权hostNetwork: true # 特权,共享主机网络3.root特权securityContext: # 安全上下文值privileged: true # root特权容器# root用户特权的使用[root@node-0001 /]# mkdir /sysroot[root@node-0001 /]# mount /dev/vda1 /sysroot[root@node-0001 /]# mount -t proc proc /sysroot/proc[root@node-0001 /]# chroot /sysrootsh-4.2# : 此处已经是 node 节点上的 root 用户了--- #特权资源文件编写kind: PodapiVersion: v1metadata:name: rootspec:hostPID: true # 特权,共享系统进程hostNetwork: true # 特权,共享主机网络containers:- name: apacheimage: myos:httpdsecurityContext: # 安全上下文值privileged: true # root特权容器3.pod安全策略(基于名称空间来设置)1.语法:...pod-security.kubernetes.io/标签:策略kubectl label namespace myweb pod-security.kubernetes.io/标签:策略2.pod准入控制标签:1)enforce:违反策略会导致pod被拒绝2)audit:违反策略会触发审计日志,但是pod仍然可以被接受3)warn:违反策略会查发警告信息,但是pod仍然可以被接受3.pod安全策略1)privileged:不受限制的策略,提供最大范围权限,可以允许设置特权提升规则2)baseline:弱限制性的策略,禁止已知的策略提升权限,允许使用默认的pod配置3)restricted:非常严格的限制性策略,几乎不允许任何特权提升的行为4.测试安全策略:kubectl label namespaces mytest pod-security.kubernetes.io/warn=baselinekubectl -n mytest apply -f root.yaml即使这个名称空间设置的弱限制性策略,由于没有设置安全声明,也不能成功创建5.pod设置安全声明---kind: PodapiVersion: v1metadata:name: nonrootspec:containers:- name: phpimage: myos:php-fpmsecurityContext: # 声明安全策略allowPrivilegeEscalation: false # 容器内没有权限提升的行为runAsNonRoot: true # 容器运行在非 root 用户下runAsUser: 65534 # 运行容器用户的 UIDseccompProfile: # 容器使用了默认的安全配置type: "RuntimeDefault"capabilities: # 容器禁用了所有特权能力drop: ["ALL"]1.修改容器内主机名和/etc/hosts 文件,让持久生效,通过修改资源清单方式
---
kind: Pod
apiVersion: v1
metadata:
name: root
spec:
hostname: myhost # 修改主机名
hostAliases: # 修改 /etc/hosts
- ip: 192.168.88.240 # IP 地址
hostnames: # 名称键值对
- harbor # 主机名
containers:
- name: apache
image: myos:httpd
2.root特权容器
1.系统进程特权,可以引起宿主机数据的变更
hostPID: true # 特权,共享系统进程
2.pod容器网络特权
hostNetwork: true # 特权,共享主机网络
3.root特权
securityContext: # 安全上下文值
privileged: true # root特权容器
# root用户特权的使用
[root@node-0001 /]# mkdir /sysroot
[root@node-0001 /]# mount /dev/vda1 /sysroot
[root@node-0001 /]# mount -t proc proc /sysroot/proc
[root@node-0001 /]# chroot /sysroot
sh-4.2# : 此处已经是 node 节点上的 root 用户了
--- #特权资源文件编写
kind: Pod
apiVersion: v1
metadata:
name: root
spec:
hostPID: true # 特权,共享系统进程
hostNetwork: true # 特权,共享主机网络
containers:
- name: apache
image: myos:httpd
securityContext: # 安全上下文值
privileged: true # root特权容器
3.pod安全策略(基于名称空间来设置)
1.语法:...pod-security.kubernetes.io/标签:策略
kubectl label namespace myweb pod-security.kubernetes.io/标签:策略
2.pod准入控制标签:
1)enforce:违反策略会导致pod被拒绝
2)audit:违反策略会触发审计日志,但是pod仍然可以被接受
3)warn:违反策略会查发警告信息,但是pod仍然可以被接受
3.pod安全策略
1)privileged:不受限制的策略,提供最大范围权限,可以允许设置特权提升规则
2)baseline:弱限制性的策略,禁止已知的策略提升权限,允许使用默认的pod配置
3)restricted:非常严格的限制性策略,几乎不允许任何特权提升的行为
4.测试安全策略:kubectl label namespaces mytest pod-security.kubernetes.io/warn=baseline
kubectl -n mytest apply -f root.yaml
即使这个名称空间设置的弱限制性策略,由于没有设置安全声明,也不能成功创建
5.pod设置安全声明
---
kind: Pod
apiVersion: v1
metadata:
name: nonroot
spec:
containers:
- name: php
image: myos:php-fpm
securityContext: # 声明安全策略
allowPrivilegeEscalation: false # 容器内没有权限提升的行为
runAsNonRoot: true # 容器运行在非 root 用户下
runAsUser: 65534 # 运行容器用户的 UID
seccompProfile: # 容器使用了默认的安全配置
type: "RuntimeDefault"
capabilities: # 容器禁用了所有特权能力
drop: ["ALL"]