設定檔適用性:等級 2
避免使用具有使用者
system:anonymous 的 ClusterRoleBindings 或 RoleBindings。Kubernetes 將使用者
system:anonymous 指派給沒有提供驗證資訊的 API 伺服器請求。將角色綁定到使用者 system:anonymous 會使任何未驗證的使用者獲得該角色授予的權限,這是強烈不建議的。 |
注意沒有與使用者
system:anonymous相關的clusterrolebindings或rolebindings。 |
影響
未經身份驗證的使用者將擁有與配置的綁定相關聯的角色的權限。在從環境中移除任何
clusterrolebindings或rolebindings之前,應謹慎操作,以確保它們不是叢集運行所必需的。請使用更具體且經過身份驗證的使用者進行叢集操作。稽核
應審核
CusterRoleBindings和RoleBindings。使用以下指令確認沒有
ClusterRoleBindings 到 system:anonymous:$ kubectl get clusterrolebindings -o json | jq -r '["Name"], ["-----"], (.items[] | select((.subjects | length) > 0) | select(any(.subjects[]; .name == "system:anonymous")) | [.metadata.namespace, .metadata.name]) | @tsv'
不應列出
ClusterRoleBindings。如果存在任何綁定,請使用以下命令檢查其權限並重新評估其特權。
$ kubectl get clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] -o json \ | jq ' .roleRef.name +" " + .roleRef.kind' \ | sed -e 's/"//g' \ | xargs -l bash -c 'kubectl get $1 $0 -o yaml'
確認沒有包含
system:anonymous 使用者的 RoleBindings:$ kubectl get rolebindings -A -o json | jq -r '["Namespace", "Name"], ["----- ----", "-----"], (.items[] | select((.subjects | length) > 0) | select(any(.subjects[]; .name == "system:anonymous")) | [.metadata.namespace, .metadata.name]) | @tsv'
應該沒有列出
RoleBindings。如果存在任何綁定,請使用以下命令檢查其權限並重新評估其特權。
$ kubectl get rolebinding [ROLE_BINDING_NAME] --namespace [ROLE_BINDING_NAMESPACE] -o json \ | jq ' .roleRef.name +" " + .roleRef.kind' \ | sed -e 's/"//g' \ | xargs -l bash -c 'kubectl get $1 $0 -o yaml --namespace [ROLE_BINDING_NAMESPACE]'
補救
識別所有指向使用者
system:anonymous的clusterrolebindings和rolebindings。檢查它們是否被使用,並使用上面審核部分中的命令或參考GKE 文件來檢視與綁定相關的權限。強烈建議將不安全的綁定替換為經過身份驗證的用戶自定義群組。在可能的情況下,綁定到非預設的用戶自定義群組,並使用最低權限角色。
如果有任何不安全的綁定到使用者
system:anonymous,請在考慮叢集操作後,僅保留必要且更安全的綁定,並刪除它們。kubectl delete clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] kubectl delete rolebinding [ROLE_BINDING_NAME] --namespace [ROLE_BINDING_NAMESPACE]