4.1.2 - Minimieren Sie die Zulassung von Containern, die so konfiguriert sind, dass sie den Host-Prozess-ID-Namespace gemeinsam nutzen (Automatisiert)

Ansichten:

Profilanwendbarkeit: Stufe 1

Erlauben Sie generell nicht, dass Container mit dem hostPID-Flag auf true gesetzt ausgeführt werden.

Ein Container, der im PID-Namespace des Hosts läuft, kann Prozesse außerhalb des Containers inspizieren. Wenn der Container auch Zugriff auf ptrace-Fähigkeiten hat, kann dies genutzt werden, um Privilegien außerhalb des Containers zu eskalieren.

Es sollte mindestens eine Zugriffssteuerungsrichtlinie definiert sein, die es Containern nicht erlaubt, den Host-PID-Namespace zu teilen.

Wenn Sie Container ausführen müssen, die hostPID erfordern, sollte dies in einer separaten Richtlinie definiert werden, und Sie sollten sorgfältig überprüfen, dass nur begrenzte Dienstkonten und Benutzer die Berechtigung erhalten, diese Richtlinie zu verwenden.

Hinweis

Standardmäßig gibt es keine Einschränkungen bei der Erstellung von hostPID-Containern.

Auswirkung

Pods, die mit spec.hostPID: true definiert sind, werden nicht zugelassen, es sei denn, sie werden unter einer spezifischen Richtlinie ausgeführt.

Prüfung

Listen Sie die Richtlinien auf, die für jeden Namespace im Cluster verwendet werden, und stellen Sie sicher, dass jede Richtlinie die Zulassung von hostPID-Containern untersagt.

Suchen Sie im YAML-Ausgabe nach der Einstellung hostPID im Abschnitt spec, um zu überprüfen, ob sie auf true gesetzt ist.

Option 1

kubectl get pods --all-namespaces -o json | jq -r '.items[] |
select(.spec.hostPID == true) |
"\(.metadata.namespace)/\(.metadata.name)"'

Option 2

kubectl get pods --all-namespaces -o json | jq '.items[] |
select(.metadata.namespace != "kube-system" and .spec.hostPID == true)
| {pod: .metadata.name, namespace: .metadata.namespace, container:
.spec.containers[].name}'

Beim Erstellen einer Pod-Sicherheitsrichtlinie sind ["kube-system"]-Namespaces standardmäßig ausgeschlossen.

Dieser Befehl ruft alle Pods über alle Namespaces im JSON-Format ab, verwendet dann jq, um diejenigen herauszufiltern, die das hostPID-Flag auf true gesetzt haben, und formatiert schließlich die Ausgabe, um den Namespace und den Namen jedes übereinstimmenden Pods anzuzeigen.

Wiederherstellung

Fügen Sie Richtlinien zu jedem Namespace im Cluster hinzu, der Benutzer-Workloads enthält, um die Zulassung von hostPID-Containern zu beschränken.