问题标签 [security-context]
For questions regarding programming in ECMAScript (JavaScript/JS) and its various dialects/implementations (excluding ActionScript). Note JavaScript is NOT the same as Java! Please include all relevant tags on your question; e.g., [node.js], [jquery], [json], [reactjs], [angular], [ember.js], [vue.js], [typescript], [svelte], etc.
kubernetes - 使用 runAsUser 时让 git 在 kubernetes 容器中工作
我想git作为initContainerKubernetes pod 的一部分运行。我还希望容器以任意非 root 用户身份运行。有没有办法做到这一点?
问题是,如果我在 pod 描述中包含这样的内容:
然后git会像这样失败:
错误来自ssh. 显而易见的解决方法是通过https://url 而不是使用来克隆ssh,但我依赖部署密钥来只读访问远程存储库。
我无法将用户烘焙到图像中,因为直到运行时我才知道用户 ID 是什么。
我无法/etc/passwd在运行时将用户添加到,因为容器以非 root 用户身份运行。
其他人是如何处理这种情况的?
如果有人问:
kubernetes - kubernetes:使用 valueFrom 在环境变量中使用 runAsUser 的值?
我有一个 kubernetes 部署,它启动一个 pod,runAsUser其中securityContext. 我希望我可以使用valueFrom将此值粘贴在 initContainer 的环境中,如下所示:
这似乎不起作用:
部署“testdeployment”无效:spec.template.spec.initContainers[0].env[0].valueFrom.fieldRef.fieldPath:无效值:“spec.containers[0].securityContext.runAsUser”:转换字段路径时出错:不支持字段标签:spec.containers[0].securityContext.runAsUser
有什么办法可以使这项工作?我正在尝试减少对该 UID 进行硬编码的位置数量。
linux - Kubernetes 是如何实现 Linux 能力的?
Linux 功能应用于可执行文件。如果我向容器添加功能,这意味着什么?这是我的容器安全上下文:
但我的任务无法创建原始套接字。那么我应该在打包 docker 映像时将功能应用于可执行文件吗?
kubernetes - 如何创建具有默认 uid:gid 和多个组访问 gids(4 到 5)的 pod,这是访问 nfs 共享所需的。?
我正在尝试将涉及 nfs 共享的工作流程容器化。为了成功运行,它需要用户拥有默认的 uid:gid 以及额外的 4 或 5 个 groupid 访问权限。组 id 是随机的,理想情况下我想避免在 yaml 文件中给出 gid 的范围。有没有一种有效的方法来完成这项工作?任何人都可以在 yaml 中显示任何示例,或者请指点我参考文件。谢谢
spring-boot - 当用户进行身份验证并将其保存在安全上下文中时,我该如何处理我的 Spring Boot 资源服务器 oauth 2 从 api 获取用户的额外数据?
我有一个使用 Spring Boot 完成的资源服务器。我正在使用 Spring Security 5.3 对前端交换数据进行身份验证和授权。我在 application.yml 中配置了一个授权服务器“issuer-uri”,它提供并验证 access_token (jwt)。
直到那里确定。授权服务器没有立即在access_token或id_token中提供我需要的每个用户信息的问题。使用 sub 声明和 access_token 我需要向端点发出请求以获取有关用户的更多额外数据。
我想知道如何在用户进行身份验证时请求获取该信息并将它们放入安全上下文中,以及已经获得的信息。这样,我可以在需要时在某些服务中获取该信息,而无需每次都向端点发出请求:
这是我的 WebSecurityConfigurerAdapter
我不知道是否需要自定义 AuthenticationManger,或者是否可以在经过身份验证后使用安全过滤器来执行此操作。如果有人可以帮助我,我真的很感激。咳咳!!!
angular - 通过 S3-cloudfornt 托管 Angular 网站时出现安全上下文错误
在 Chrome 浏览器上遇到此错误
未捕获的 EvalError:拒绝将字符串评估为 JavaScript,因为“unsafe-eval”不是以下内容安全策略指令中允许的脚本源:“script-src 'self'”。
kubernetes - OpenShift 正在使用该范围内的第一个 UID 运行所有 pod
我使用默认的受限 SCC 安装了 OpenShift 4.7。UID 范围为:
我有 3 个 Deploymwent 的副本 pod,并且都获得了相同的 UID:
uid=1000700000(1000700000) gid=0(root) 组=0(root),1337
在 OpenShift 文档中,他们说 pod 正在获取随机 UID,从范围内的第一个 ID 开始。所以我假设第一个 pod 将获得 UID 1000700000,第二个 pod 将获得 1000700001,第三个 pod 将获得 1000700002。
我删除了其中一个 pod,它再次使用相同的 UID 重新启动。
这是正确的行为吗?
rest - Hibernate Envers : How to inject SecurityContext (REST) in RevisionListener?
I have a REST API (using wildfly 20 with microprofile-jwt) so I would like to audit changes with Hibernate Envers. Unfortunately I can't get my Principal object : the javax.ws.rs.core.SecurityContext is null.
So my question is : how can I inject the SecurityContext in my RevisionListener and get the Principal ?
kubernetes - Kubernetes:以 root 身份运行容器
我确实理解这样做的缺点,但是我的图像仅适用于在其中运行 cmd 的 root 用户。
服务器 kubernetes 版本为:v1.19.14. 在我的里面我deployment.yaml有:
但是当describe rs我看到以下内容时:
我做错了什么?
kubernetes - CSI sidecar 的最低权限
我正在使用 CSI 标准构建自己的 CSI 驱动程序,我想知道要为 CSI 边车容器设置的安全上下文。
我将使用:
- 节点驱动注册器
- CSI 供应商
- CSI 附件
- CSI 活性探针。
其中一些需要以 root 身份运行,我想知道安全上下文中的配置是否为它们分配了最小的 Linux 功能并确保在最短的时间内提供 root 功能。
我是否被迫按如下方式设置安全上下文?有没有办法进一步限制它?
在此先感谢,安东尼奥