設定檔適用性:等級 1
一般不允許容器在
securityContext.privileged標誌設置為true的情況下運行。具特權的容器可以存取所有 Linux 核心功能和設備。具有完整特權的容器幾乎可以執行主機能做的所有操作。此標誌的存在是為了允許特殊使用情況,例如操作網路堆疊和存取設備。
應至少定義一個不允許特權容器的准入控制政策。如果您需要運行特權容器,應在單獨的政策中定義,並且您應仔細檢查以確保只有有限的服務帳戶和使用者被授予使用該政策的權限。
 |
注意預設情況下,對於建立特權容器沒有任何限制。
|
影響
不允許使用
spec.containers[].securityContext.privileged: true、spec.initContainers[].securityContext.privileged: true 和 spec.ephemeralContainers[].securityContext.privileged: true 定義的 Pods。稽核
列出叢集中每個命名空間使用的政策,確保每個政策都禁止特權容器的進入。
由於手動搜尋每個 pod 的配置可能會很繁瑣,尤其是在有許多 pod 的環境中,您可以使用 grep 或其他命令列工具來採取更自動化的方法。
以下是一個範例,展示如何結合 kubectl、grep 和 shell 腳本來實現更自動化的解決方案:
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.containers[].securityContext.privileged == true) | .metadata.name'
或者:
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.containers[].securityContext.privileged == true) | select(.metadata.namespace != "kube-system" and .metadata.namespace != "gatekeeper-system" and .metadata.namespace != "azure-arc" and .metadata.namespace != "azure-extensions-usage-system") | "\(.metadata.name) \(.metadata.namespace)"'
在建立 Pod 安全政策時,
["kube-system", "gatekeeper-system", "azure-arc", "azure-extensions-usage-system"] 命名空間預設會被排除。此命令使用 jq(一個命令行 JSON 處理器)來解析從 kubectl get pods 獲得的 JSON 輸出,並篩選出任何容器具有 securityContext.privileged
標誌設置為 true 的 pod。請注意,您可能需要根據您的具體需求和 pod 規範的結構來調整命令。
補救
在叢集中每個具有使用者工作負載的命名空間中添加策略,以限制特權容器的准入。
要在叢集中的命名空間啟用 PSA,請使用您想要強制執行的策略值設定
pod-security.kubernetes.io/enforce 標籤:kubectl label --overwrite ns NAMESPACE pod-security.kubernetes.io/enforce=restricted
上述命令強制執行 NAMESPACE 命名空間的限制政策。
您也可以為所有命名空間啟用 Pod 安全性許可。
kubectl label --overwrite ns --all pod-security.kubernetes.io/warn=baseline
Pod 安全性政策和指派可以在 Azure 入口網站中搜尋政策來找到。詳細的逐步指南可以在 Kubernetes 政策文件中找到。