設定檔適用性:等級 1
一般不允許容器在
hostPID 標誌設置為 true 的情況下運行。在主機的 PID 命名空間中運行的容器可以檢查在容器外運行的進程。如果容器還具有 ptrace 功能,這可以用來提升容器外的權限。
應至少定義一個不允許容器共享主機 PID 命名空間的准入控制政策。如果您需要運行需要 hostPID 的容器,應在單獨的政策中定義,並且您應仔細檢查以確保只有有限的服務帳戶和使用者被授予使用該政策的權限。
 |
注意預設情況下,對於建立
hostPID容器沒有任何限制。 |
影響
除非在特定政策下運行,否則不允許定義了
spec.hostPID: true 的 Pods。稽核
列出叢集中每個命名空間使用的政策,確保每個政策都不允許
hostPID容器的進入。搜尋 hostPID 標誌:在 YAML 輸出中,查看 spec 區段下的
hostPID 設定,以檢查其是否設為 true。kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.hostPID == true) | "\(.metadata.namespace)/\(.metadata.name)"'
或者:
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.spec.hostPID == true) | select(.metadata.namespace != "kube-system" and .metadata.namespace != "gatekeeper-system" and .metadata.namespace != "azure-arc" and .metadata.namespace != "azure-extensions-usage-system") | "\(.metadata.name) \(.metadata.namespace)"'
在建立 Pod 安全政策時,
["kube-system", "gatekeeper-system", "azure-arc", "azure-extensions-usage-system"] 命名空間預設會被排除。此命令會以 JSON 格式檢索所有命名空間中的所有 pod,然後使用 jq 過濾出那些
hostPID 標誌設為 true 的 pod,最後格式化輸出以顯示每個匹配 pod 的命名空間和名稱。補救
在叢集中每個具有使用者工作負載的命名空間中新增政策,以限制
hostPID容器的准入。Pod 安全性政策和指派可以在 Azure 入口網站中搜尋政策來找到。詳細的逐步指南可以在 Kubernetes 政策文件 中找到。