Profilanwendbarkeit: Stufe 2
Aktivieren Sie das
RuntimeDefault seccomp-Profil in den Pod-Definitionen.Seccomp (sicherer Rechenmodus) wird verwendet, um die Menge der Systemaufrufe, die
Anwendungen ausführen können, einzuschränken, wodurch Cluster-Administratoren eine
bessere Kontrolle über die Sicherheit der im Cluster laufenden Workloads erhalten.
Kubernetes deaktiviert standardmäßig aus historischen Gründen Seccomp-Profile. Es
sollte aktiviert werden, um sicherzustellen, dass die Workloads eingeschränkte Aktionen
innerhalb des Containers ausführen können.
 |
HinweisStandardmäßig ist das seccomp-Profil auf
unconfined gesetzt, was bedeutet, dass keine seccomp-Profile aktiviert sind. |
Auswirkung
Wenn das
RuntimeDefault-Seccomp-Profil für Sie zu restriktiv ist, müssen Sie Ihre eigenen Localhost-Seccomp-Profile erstellen/verwalten.Prüfung
Überprüfen Sie die Pod-Definitionsausgabe für alle Namespaces im Cluster mit dem folgenden
Befehl.
kubectl get pods --all-namespaces -o json | jq -r '.items[] |
select(.metadata.annotations."seccomp.security.alpha.kubernetes.io/pod" ==
"runtime/default" or .spec.securityContext.seccompProfile.type ==
"RuntimeDefault") | {namespace: .metadata.namespace, name: .metadata.name,
seccompProfile: .spec.securityContext.seccompProfile.type}'
Wiederherstellung
Verwenden Sie den Sicherheitskontext, um das
RuntimeDefault seccomp-Profil in Ihren Pod-Definitionen zu aktivieren. Ein Beispiel ist wie folgt:{
"namespace": "kube-system",
"name": "metrics-server-v0.7.0-dbcc8ddf6-gz7d4",
"seccompProfile": "RuntimeDefault"
}