設定檔適用性:級別 1
通常不要允許容器在
hostPID標誌設置為true的情況下運行。在主機的 PID 命名空間中運行的容器可以檢查在容器外部運行的進程。如果容器還具有 ptrace 功能,則可以用來提升容器外部的權限。
應至少定義一個不允許容器共享主機 PID 命名空間的准入控制策略。
如果您需要運行需要 hostPID 的容器,應該在單獨的策略中定義,並且您應該仔細檢查以確保只有有限的服務帳戶和用戶被授予使用該策略的權限。
 |
注意預設情況下,對於建立
hostPID容器沒有任何限制。 |
影響
除非在特定政策下運行,否則不允許使用
spec.hostPID: true 定義的 Pods。稽核
列出叢集中每個命名空間使用的策略,並確保每個策略都不允許
hostPID容器的進入。在 YAML 輸出中,查看 spec 部分下的
hostPID 設定,檢查其是否設為 true。選項 1
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.hostPID == true) | "\(.metadata.namespace)/\(.metadata.name)"'
選項 2
kubectl get pods --all-namespaces -o json | jq '.items[] |
select(.metadata.namespace != "kube-system" and .spec.hostPID == true)
| {pod: .metadata.name, namespace: .metadata.namespace, container:
.spec.containers[].name}'
在建立 Pod 安全性政策時,預設會排除
["kube-system"] 命名空間。此命令以 JSON 格式檢索所有命名空間中的所有 Pod,然後使用 jq 過濾出那些
hostPID 標誌設置為 true 的 Pod,最後將輸出格式化以顯示每個匹配 Pod 的命名空間和名稱。補救
向叢集中具有使用者工作負載的每個命名空間新增政策,以限制
hostPID容器的允許。