是否可以从主机os文件系统访问Kubernetes中已安装的卷

时间:2018-11-15 10:34:34

标签: docker kubernetes

我真正的问题是,如果将机密作为卷安装在Pod中-如果有人获得了对主机操作系统的根访问权限,可以读取机密。

例如,通过访问/ var / lib / docker并向下钻取该卷。

1 个答案:

答案 0 :(得分:4)

如果某人可以使用容器对您的主机进行root访问,那么他可以做任何他想做的事...不要忘记pod只是一堆容器,实际上是带有pid的进程。例如,如果我有一个叫做sleeper的豆荚:

kubectl get pods sleeper-546494588f-tx6pp -o wide
NAME                       READY   STATUS    RESTARTS   AGE   IP            NODE         NOMINATED NODE
sleeper-546494588f-tx6pp   1/1     Running   1          21h   10.200.1.14   k8s-node-2   <none>

在节点k8s-node-2上运行。通过根节点访问此节点,我可以检查此pod及其容器的pid(我将容器作为容器引擎使用,但以下几点对于docker或任何其他容器引擎非常相似):

[root@k8s-node-2 /]# crictl -r  unix:///var/run/containerd/containerd.sock pods -name sleeper-546494588f-tx6pp -q
ec27f502f4edd42b85a93503ea77b6062a3504cbb7ac6d696f44e2849135c24e
[root@k8s-node-2 /]# crictl -r  unix:///var/run/containerd/containerd.sock ps -p ec27f502f4edd42b85a93503ea77b6062a3504cbb7ac6d696f44e2849135c24e
CONTAINER ID        IMAGE               CREATED             STATE               NAME                ATTEMPT             POD ID
70ca6950de10b       8ac48589692a5       2 hours ago         Running             sleeper             1                   ec27f502f4edd
[root@k8s-node-2 /]# crictl -r  unix:///var/run/containerd/containerd.sock# inspect   70ca6950de10b | grep pid | head -n 1
    "pid": 24180,

最后使用这些信息(pid号),我可以访问此过程的“ /”挂载点并检查其内容(包括机密):

[root@k8s-node-2 /]# ll  /proc/24180/root/var/run/secrets/kubernetes.io/serviceaccount/
total 0
lrwxrwxrwx. 1 root root 13 Nov 14 13:57 ca.crt -> ..data/ca.crt
lrwxrwxrwx. 1 root root 16 Nov 14 13:57 namespace -> ..data/namespace
lrwxrwxrwx. 1 root root 12 Nov 14 13:57 token -> ..data/token
[root@k8s-node-2 serviceaccount]# cat  /proc/24180/root/var/run/secrets/kubernetes.io/serviceaccount/namespace ; echo
default
[root@k8s-node-2 serviceaccount]# cat  /proc/24180/root/var/run/secrets/kubernetes.io/serviceaccount/token | cut -d'.' -f 1 | base64 -d ;echo 
{"alg":"RS256","kid":""}
[root@k8s-node-2 serviceaccount]# cat  /proc/24180/root/var/run/secrets/kubernetes.io/serviceaccount/token | cut -d'.' -f 2 | base64 -d 2>/dev/null  ;echo 
{"iss":"kubernetes/serviceaccount","kubernetes.io/serviceaccount/namespace":"default","kubernetes.io/serviceaccount/secret.name":"default-token-6sbz9","kubernetes.io/serviceaccount/service-account.name":"default","kubernetes.io/serviceaccount/service-account.uid":"42e7f596-e74e-11e8-af81-525400e6d25d","sub":"system:serviceaccount:default:default"}

这是正确保护对kubernetes基础结构的访问至关重要的原因之一。

相关问题
最新问题