設定檔適用性:等級 1
Kubernetes API 儲存了秘密,這些秘密可能是 Kubernetes API 的服務帳戶令牌或叢集中工作負載使用的憑證。對這些秘密的存取應限制在最小範圍的使用者群組,以降低權限升級的風險。
在 Kubernetes 叢集中不當存取儲存的機密可能使攻擊者獲得對 Kubernetes 叢集或其憑證以機密形式儲存的外部資源的額外存取權限。
 |
注意預設情況下,以下主體列表對
secret物件具有get權限。
CLUSTERROLEBINDING SUBJECT TYPE SA-NAMESPACE cluster-admin system:masters Group system:controller:clusterrole-aggregation-controller clusterroleaggregation- controller ServiceAccount kube-system system:controller:expand-controller expand-controller ServiceAccount kube-system system:controller:generic-garbage-collector generic-garbagecollector ServiceAccount kube-system system:controller:namespace-controller namespace-controller ServiceAccount kube-system system:controller:persistent-volume-binder persistent-volumebinder ServiceAccount kube-system system:kube-controller-manager system:kube-controllermanager User |
影響
應注意不要移除系統元件運行所需的機密存取權限。
稽核
檢查在 Kubernetes API 中對
secrets 物件具有 get、list 或 watch 存取權限的使用者。補救
在可能的情況下,移除對叢集中的
secret物件的get、list和watch存取權限。