0

作为 Kubernetes 集群管理员,我被要求在 SHARED Kubernetes 集群中为一些特殊的Pod 启用chowndac_overridefowner Linux 功能。

但是我发现在 Container 中打开这些功能很可怕: https ://www.redhat.com/en/blog/secure-your-containers-one-weird-trick

我想知道 Pod 是否只能在 Pod 中的文件/文件夹上使用这些功能?或者他们也可以在主机文件/文件夹上使用它们来破解一些东西?

我还打开了 RunAsRoot 权限,但禁用了 Privileged 权限。

所以我想知道在 Kube 集群中启用这些功能是否存在任何安全问题?

或者有什么方法可以让一些特殊的 Pod 拥有这些功能?

非常感谢!

4

1 回答 1

1

只要您信任这些 pod 的 k8s 控制器(Deployment、StatefulSet、DaemonSet),您就可以使用额外的文件系统相关功能。默认情况下,Pod 无法写入主机文件系统。而且您不应该在特殊 pod 的控制器中使用hostPath 来消除这些 pod 内部的主机文件系统写入。

于 2020-04-05T12:50:23.890 回答