为什么在公共云Kubernetes服务中默认允许根用户?
为什么在公共云Kubernetes服务中默认允许根用户?
提问于 2020-12-05 11:58:21
在Kubernetes环境中,我认为在默认情况下不应该允许根用户降低风险,以防从容器内部访问主机OS。这个设置应该通过用PodSecurityPolicy编写来完成。
考虑到这一点,我只是想知道:为什么我们可以使用根用户在公共云Kubernetes服务(如EKS、AKE和GKE )中运行容器?他们是否有另一层安全措施来防止容器被攻击者破坏?
回答 1
Server Fault用户
发布于 2020-12-05 12:27:57
根用户可以在Linux系统上执行任何操作,包括运行Docker容器。没有办法不允许根用户运行停靠容器。相反,方法是限制对根用户的访问,并使用sudo允许非根用户在系统上执行某些操作。
但是,对于Docker来说,这并没有多大关系,因为:
docker组授予与根用户等效的权限。有关此操作如何影响系统安全性的详细信息,请参阅码头守护进程攻击面。
因此,任何拥有执行docker命令权限的Linux用户都可以获得系统上的根权限。
容器内部的根权限不是问题,因为Docker是一种OS级别的虚拟化技术。容器中的根用户无法访问运行docker守护进程的底层操作系统。
页面原文内容由Server Fault提供。腾讯云小微IT领域专用引擎提供翻译支持
原文链接:
https://serverfault.com/questions/1045096
复制相关文章
相似问题
腾讯云开发者
