設定檔適用性:級別 1
使用 allowedHostPath 來拒絕經常被利用以突破的容器功能。
稽核
執行以下命令並檢查命名空間元數據註釋:
kubectl get namespaces
驗證註釋
pod-security.kubernetes.io/enforce 等於 restricted 和 pod-security.kubernetes.io/allowedHostPath 等於 false。補救
在命名空間中添加相關註釋以強制執行受限策略並配置 allowedHostPath。使用 Pod 安全性准入 (PSA),在命名空間級別應用「受限」安全模式。
或者,建立並套用 Kyverno 政策以限制 hostPath 的使用,或使用 Open Policy Agent (OPA) Gatekeeper 建立允許的 hostPath
約束範本,以強制執行並套用該政策。
對於 AWS EKS 叢集,建議使用 Kyverno 或 OPA Gatekeeper。對於 OpenShift,請確保分配給使用者/群組的安全性上下文約束(SCC)不允許
hostPath。