kubelet Aug 23 2023 at 10:35

Один YAML до катастрофы: «детские» ошибки администраторов Kubernetes

Easy

14 min

7.8K

Флант corporate blogInformation Security*IT Infrastructure*DevOps*Kubernetes*

Analytics

Translation

+28

Comments 4

slonopotamus Aug 23 2023 at 21:13

Я не понял. Ну допустим у меня торчит наружу порт 6443. Но разве через него по дефолту можно хоть что-то делать без аутентификации?

Expurple Aug 24 2023 at 09:59

В треде на hackernews есть пояснения

Frankenstine Aug 24 2023 at 14:46

Статья, судя по всему, не актуальна, опоздала примерно на год. В частности, system:anonymous уже нужно явно задавать, такая роль изначально просто отсутствует, и на всякие там /api/vi/pods будет ответ `forbidden: User "system:anonymous" cannot list resource`

Более веротяно проникновение в кластер через уязвимости в софте, частично защититься от чего позволяют политики securityContext для контейнеров, имеющих ингрессы, например allowPrivilegeEscalation: false, runAsNonRoot: true и readOnlyRootFilesystem: true, но об этом как раз ни единого слова.

TimurTukaev Aug 24 2023 at 17:23

В статье описывается то, с чем авторы столкнулись на практике во время своего последнего исследования кластеров в интернете. Видимо, не везде свежие версии K8s, и такие проблемы продолжают оставаться проблемами для такой категории кластеров.