設定檔適用性:級別 1
通常不要允許容器在
allowPrivilegeEscalation標誌設置為true的情況下運行。允許此權限可能會導致運行容器的進程獲得比最初更多的權限。請注意,這些權限仍然受到整體容器沙盒的限制,且此設定與使用特權容器無關。
將
allowPrivilegeEscalation 標誌設置為 true 的容器可能會有比其父進程獲得更多權限的進程。應至少定義一個不允許容器進行權限升級的准入控制策略。存在允許 setuid 二進位文件運行的選項(預設為 true)。
如果您需要運行使用 setuid 二進制文件或需要權限升級的容器,應在單獨的策略中定義,並且您應仔細檢查以確保只有有限的服務帳戶和用戶被授予使用該策略的權限。
 |
注意預設情況下,對於容器內的進程提升權限的能力沒有任何限制。
|
影響
除非在特定政策下運行,否則不允許使用
spec.allowPrivilegeEscalation: true定義的 Pods。稽核
列出叢集中每個命名空間使用的策略,並確保每個策略都禁止允許權限升級的容器進入。
此命令獲取所有命名空間中的所有 Pod,將其詳細資訊輸出為 JSON 格式,並使用 jq 解析和篩選
allowPrivilegeEscalation 設定為 true 的容器。選項 1
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(any(.spec.containers[]; .securityContext.allowPrivilegeEscalation == true)) | "\(.metadata.namespace)/\(.metadata.name)"'
選項 2
kubectl get pods --all-namespaces -o json | jq '.items[] |
select(.metadata.namespace != "kube-system" and .spec.containers[];
.securityContext.allowPrivilegeEscalation == true) | {pod:
.metadata.name, namespace: .metadata.namespace, container:
.spec.containers[].name}'
在建立 Pod 安全性政策時,預設會排除
["kube-system"] 命名空間。此命令使用 jq(一個命令列 JSON 處理器)來解析 kubectl get pods 的 JSON 輸出,並篩選出任何容器具有
securityContext.privileged 標誌設置為 true 的 pods。 |
注意您可能需要根據您的具體需求和 pod 規範的結構調整命令。
|
補救
在叢集中每個具有使用者工作負載的命名空間中新增政策,以限制允許
.spec.allowPrivilegeEscalation 設定為 true 的容器的准入。