将. .kube/config文件映射到docker作为卷时存在的安全漏洞
将. .kube/config文件映射到docker作为卷时存在的安全漏洞
提问于 2020-08-10 12:06:27
我有一个场景,我必须在公共云上安装Kubernetes,并通过我笔记本上的VM通过kubectl访问Kubernetes。
Kubectl访问.kube/config以连接K8S accesses以完成所需的操作。
有一个应用程序在VM中作为停靠器运行,并使用映射为卷的K8S连接到.kube/config。那是-v $HOME/.kube:/home/test/.kube
是否有安全漏洞,我应该知道?
回答 1
Security用户
发布于 2020-08-10 13:00:20
如果您授予应用程序对Kubeconfig文件的访问权限,您将有效地赋予它对该文件中定义的每个集群的权限。
Kubeconfig文件包含一个或多个集群的凭据,通常作为客户端证书或JWT令牌。访问该文件的应用程序可以访问这些集群。如果在Docker容器中运行的应用程序是恶意的,他们可能会提取这些信息,并尝试访问Kubeconfig文件中定义的集群(假设它们可以在网络级别到达它们)。
您应该确保您乐于信任在Docker容器中运行的应用程序可以访问这些凭据。
页面原文内容由Security提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://security.stackexchange.com/questions/236868
复制相关文章
相似问题
腾讯云开发者
