Profilanwendbarkeit: Stufe 2
Aktivieren Sie das
RuntimeDefault-seccomp-Profil in den Pod-Definitionen.Seccomp (sicherer Rechenmodus) wird verwendet, um die Menge der Systemaufrufe einzuschränken,
die Anwendungen durchführen können, und ermöglicht Cluster-Administratoren eine bessere
Kontrolle über die Sicherheit der Workloads im Cluster. Kubernetes deaktiviert
seccomp-Profile standardmäßig aus historischen Gründen. Es sollte aktiviert werden, um sicherzustellen,
dass die Workloads eingeschränkte Aktionen innerhalb des Containers ausführen können. |
HinweisStandardmäßig ist das seccomp-Profil auf
unconfined eingestellt, was bedeutet, dass keine seccomp-Profile aktiviert sind. |
Auswirkung
Wenn das
RuntimeDefault-Seccomp-Profil für Sie zu restriktiv ist, müssen Sie Ihre eigenen Localhost-Seccomp-Profile erstellen/verwalten.Prüfung
Überprüfen Sie die Ausgabe der Pod-Definitionen für alle Namespaces im Cluster mit
dem folgenden Befehl.
kubectl get pods --all-namespaces -o json | jq -r '.items[] | select(.metadata.annotations."seccomp.security.alpha.kubernetes.io/pod" == "runtime/default" or .spec.securityContext.seccompProfile.type == "RuntimeDefault") | {namespace: .metadata.namespace, name: .metadata.name, seccompProfile: .spec.securityContext.seccompProfile.type}'
Wiederherstellung
Verwenden Sie den Sicherheitskontext, um das
RuntimeDefault seccomp-Profil in Ihren Pod-Definitionen zu aktivieren. Ein Beispiel ist wie folgt:{ "namespace": "kube-system", "name": "metrics-server-v0.7.0-dbcc8ddf6-gz7d4", "seccompProfile": "RuntimeDefault" }