CODEBY_SEC Telegram 8724
tgoop.com Β» United States Β» Codeby Β» Telegram web Β» Post 8724
Codeby
🌐 Kubernetes β€” мощная систСма оркСстрации ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π½ΠΎ Π΅Ρ‘ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ внимания. Рассмотрим основныС уязвимости ΠΈ способы Π·Π°Ρ‰ΠΈΡ‚Ρ‹ с ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°ΠΌΠΈ ΠΊΠΎΠ΄Π°.


1️⃣ ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Π°Ρ настройка RBAC
НСкоррСктная настройка Ρ€ΠΎΠ»Π΅ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ лишниС ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ.
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: example-admin-binding
subjects:
- kind: ServiceAccount
  name: example-service-account
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin


Π—Π°Ρ‰ΠΈΡ‚Π°: ΠŸΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚Π΅ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏ ΠΌΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ.
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: read-only-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]


2️⃣ Уязвимости Π² API Kubernetes
ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ настроСнная аутСнтификация API ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ нСсанкционированному доступу.

Π—Π°Ρ‰ΠΈΡ‚Π°: Π’ΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅ TLS ΠΈ настройтС Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ TLS:

apiServer:
  certSANs:
    - "your-cluster-api-server.com"
  tlsCipherSuites:
    - "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"


3️⃣ Уязвимости Π² сСкрСтах Kubernetes
Π£Ρ‚Π΅Ρ‡ΠΊΠ° сСкрСтов ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

Π—Π°Ρ‰ΠΈΡ‚Π°: Π¨ΠΈΡ„Ρ€ΡƒΠΉΡ‚Π΅ сСкрСты Π² etcd. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ:
apiVersion: apps/v1
kind: Secret
metadata:
  name: my-secret
  namespace: default
data:
  password: cGFzc3dvcmQ=



4️⃣ ΠŸΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹
ΠŸΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ ядру ОБ.

Π—Π°Ρ‰ΠΈΡ‚Π°: НС ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ Ρ„Π»Π°Π³ --privileged. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  runAsUser:
    rule: 'MustRunAsNonRoot'


5️⃣ Уязвимости Π² ΠΎΠ±Ρ€Π°Π·Π°Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ²
ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ°: ИспользованиС уязвимых ΠΈΠ»ΠΈ ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΡ… ΠΎΠ±Ρ€Π°Π·ΠΎΠ².

Π—Π°Ρ‰ΠΈΡ‚Π°: Π‘ΠΊΠ°Π½ΠΈΡ€ΡƒΠΉΡ‚Π΅ ΠΎΠ±Ρ€Π°Π·Ρ‹ Π½Π° уязвимости с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Trivy. Команда для сканирования:
trivy image my-image:latest
Please open Telegram to view this post
VIEW IN TELEGRAM
πŸ‘16❀8πŸ”₯5πŸ‘Ž1πŸ‘Ύ1
www.tgoop.com/codeby_sec/8724
4.89K views



tgoop.com/codeby_sec/8724
Create:
Last Update:

🌐 Kubernetes β€” мощная систСма оркСстрации ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ², Π½ΠΎ Π΅Ρ‘ Π±Π΅Π·ΠΎΠΏΠ°ΡΠ½ΠΎΡΡ‚ΡŒ Ρ‚Ρ€Π΅Π±ΡƒΠ΅Ρ‚ внимания. Рассмотрим основныС уязвимости ΠΈ способы Π·Π°Ρ‰ΠΈΡ‚Ρ‹ с ΠΏΡ€ΠΈΠΌΠ΅Ρ€Π°ΠΌΠΈ ΠΊΠΎΠ΄Π°.


1️⃣ ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½Π°Ρ настройка RBAC
НСкоррСктная настройка Ρ€ΠΎΠ»Π΅ΠΉ ΠΌΠΎΠΆΠ΅Ρ‚ ΠΏΡ€Π΅Π΄ΠΎΡΡ‚Π°Π²ΠΈΡ‚ΡŒ лишниС ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΈ.
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: example-admin-binding
subjects:
- kind: ServiceAccount
  name: example-service-account
  namespace: default
roleRef:
  kind: ClusterRole
  name: cluster-admin


Π—Π°Ρ‰ΠΈΡ‚Π°: ΠŸΡ€ΠΈΠΌΠ΅Π½ΠΈΡ‚Π΅ ΠΏΡ€ΠΈΠ½Ρ†ΠΈΠΏ ΠΌΠΈΠ½ΠΈΠΌΠ°Π»ΡŒΠ½Ρ‹Ρ… ΠΏΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΠΉ.
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: read-only-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "list"]


2️⃣ Уязвимости Π² API Kubernetes
ΠΠ΅ΠΏΡ€Π°Π²ΠΈΠ»ΡŒΠ½ΠΎ настроСнная аутСнтификация API ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ нСсанкционированному доступу.

Π—Π°Ρ‰ΠΈΡ‚Π°: Π’ΠΊΠ»ΡŽΡ‡ΠΈΡ‚Π΅ TLS ΠΈ настройтС Π°ΡƒΡ‚Π΅Π½Ρ‚ΠΈΡ„ΠΈΠΊΠ°Ρ†ΠΈΡŽ. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ Π²ΠΊΠ»ΡŽΡ‡Π΅Π½ΠΈΡ TLS:

apiServer:
  certSANs:
    - "your-cluster-api-server.com"
  tlsCipherSuites:
    - "TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256"


3️⃣ Уязвимости Π² сСкрСтах Kubernetes
Π£Ρ‚Π΅Ρ‡ΠΊΠ° сСкрСтов ΠΌΠΎΠΆΠ΅Ρ‚ привСсти ΠΊ ΠΊΠΎΠΌΠΏΡ€ΠΎΠΌΠ΅Ρ‚Π°Ρ†ΠΈΠΈ.

Π—Π°Ρ‰ΠΈΡ‚Π°: Π¨ΠΈΡ„Ρ€ΡƒΠΉΡ‚Π΅ сСкрСты Π² etcd. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ ΠΊΠΎΠ½Ρ„ΠΈΠ³ΡƒΡ€Π°Ρ†ΠΈΠΈ:
apiVersion: apps/v1
kind: Secret
metadata:
  name: my-secret
  namespace: default
data:
  password: cGFzc3dvcmQ=



4️⃣ ΠŸΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹
ΠŸΡ€ΠΈΠ²ΠΈΠ»Π΅Π³ΠΈΡ€ΠΎΠ²Π°Π½Π½Ρ‹Π΅ ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€Ρ‹ ΠΌΠΎΠ³ΡƒΡ‚ ΠΏΠΎΠ»ΡƒΡ‡ΠΈΡ‚ΡŒ доступ ΠΊ ядру ОБ.

Π—Π°Ρ‰ΠΈΡ‚Π°: НС ΠΈΡΠΏΠΎΠ»ΡŒΠ·ΡƒΠΉΡ‚Π΅ Ρ„Π»Π°Π³ --privileged. ΠŸΡ€ΠΈΠΌΠ΅Ρ€ ΠΏΠΎΠ»ΠΈΡ‚ΠΈΠΊΠΈ бСзопасности:

apiVersion: policy/v1beta1
kind: PodSecurityPolicy
metadata:
  name: restricted-psp
spec:
  privileged: false
  runAsUser:
    rule: 'MustRunAsNonRoot'


5️⃣ Уязвимости Π² ΠΎΠ±Ρ€Π°Π·Π°Ρ… ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ²
ΠŸΡ€ΠΎΠ±Π»Π΅ΠΌΠ°: ИспользованиС уязвимых ΠΈΠ»ΠΈ ΡƒΡΡ‚Π°Ρ€Π΅Π²ΡˆΠΈΡ… ΠΎΠ±Ρ€Π°Π·ΠΎΠ².

Π—Π°Ρ‰ΠΈΡ‚Π°: Π‘ΠΊΠ°Π½ΠΈΡ€ΡƒΠΉΡ‚Π΅ ΠΎΠ±Ρ€Π°Π·Ρ‹ Π½Π° уязвимости с ΠΏΠΎΠΌΠΎΡ‰ΡŒΡŽ Trivy. Команда для сканирования:
trivy image my-image:latest

BY Codeby




Share with your friend now:
tgoop.com/codeby_sec/8724

View MORE
Open in Telegram


Telegram News

Date: |

Other crimes that the SUCK Channel incited under Ng’s watch included using corrosive chemicals to make explosives and causing grievous bodily harm with intent. The court also found Ng responsible for calling on people to assist protesters who clashed violently with police at several universities in November 2019. How to Create a Private or Public Channel on Telegram? Concise The optimal dimension of the avatar on Telegram is 512px by 512px, and it’s recommended to use PNG format to deliver an unpixelated avatar. Public channels are public to the internet, regardless of whether or not they are subscribed. A public channel is displayed in search results and has a short address (link).
from us


🌐 Kubernetes β€” мощная систСма оркСстрации ΠΊΠΎΠ½Ρ‚Π΅ΠΉΠ½Π΅Ρ€ΠΎΠ²

 Codeby TG
web: 8724
Codeby.Telegram web
Codeby Telegram TG Channel
Telegram Updated:
Telegram Codeby
FROM American