Profilanwendbarkeit: Stufe 1
AppArmor ist ein Sicherheitsmodul des Linux-Kernels, das die standardmäßigen Linux-Benutzer-
und Gruppenberechtigungen ergänzt, um Programme auf einen begrenzten Satz von Ressourcen
zu beschränken. AppArmor kann für jede Anwendung konfiguriert werden, um ihre potenzielle
Angriffsfläche zu reduzieren und eine umfassendere Verteidigung zu bieten. Es wird
durch Profile konfiguriert, die so abgestimmt sind, dass sie den Zugriff ermöglichen,
den ein bestimmtes Programm oder Container benötigt, wie z.B. Linux-Fähigkeiten, Netzwerkzugriff
und Dateiberechtigungen. Jedes Profil kann entweder im Durchsetzungsmodus ausgeführt
werden, der den Zugriff auf nicht erlaubte Ressourcen sperrt, oder im Beschwerdemodus,
der nur Verstöße meldet.
AppArmor kann Ihnen helfen, eine sicherere Bereitstellung zu betreiben, indem es einschränkt,
was Container tun dürfen, und/oder durch Systemprotokolle eine bessere Überwachung
bietet. Die von Ihnen verwendete Container-Laufzeitumgebung könnte mit einem standardmäßigen
AppArmor-Profil geliefert werden, oder Sie können ein benutzerdefiniertes Profil verwenden.
Prüfung
Führen Sie den folgenden Befehl aus und überprüfen Sie die Details jedes Pods:
kubectl get pods --all-namespaces
Für Kubernetes-Versionen 1.30 und höher:
Überprüfen Sie den securityContext jedes Pods und stellen Sie sicher, dass
appArmorProfile konfiguriert ist.Für Kubernetes-Versionen vor 1.30:
Überprüfen Sie die Metadatenanmerkungen der Container jedes Pods auf
container.apparmor.security.beta.kubernetes.io/<container name>Stellen Sie sicher, dass jeder Container mit AppArmor konfiguriert ist.
Wiederherstellung
Legen Sie den Wert
runtime/default von AppArmor fest.Verwenden Sie die AppArmor-Dokumentation , um den Zugriff jedes Containers auf Ressourcen einzuschränken.