設定檔適用性:級別 1
在命名空間中創建 Pod 的能力可能提供多種權限升級的機會,例如將特權服務帳戶分配給這些 Pod 或掛載具有敏感資料訪問權限的 hostPaths(除非實施 Pod
安全策略以限制此訪問)。
因此,應將創建新 pod 的權限限制在最小範圍的使用者群組內。
在叢集中創建 pod 的能力可能會導致權限升級,應在可能的情況下加以限制。
 |
注意預設情況下,下列主體對
pod物件具有create權限 |
影響
應注意不要移除系統元件運行所需的 pod 存取權限。
稽核
檢查在 Kubernetes API 中擁有 pod 物件建立權限的使用者。
矯正性處理
在可能的情況下,移除叢集中
pod物件的create存取權限。 CLUSTERROLEBINDING SUBJECT
TYPE SA-NAMESPACE
cluster-admin system:masters
Group
system:controller:clusterrole-aggregation-controller clusterrole-
aggregation-controller ServiceAccount kube-system
system:controller:daemon-set-controller daemon-set-controller
ServiceAccount kube-system
system:controller:job-controller job-controller
ServiceAccount kube-system
system:controller:persistent-volume-binder persistent-volume-
binder ServiceAccount kube-system
system:controller:replicaset-controller replicaset-controller
ServiceAccount kube-system
system:controller:replication-controller replication-controller
ServiceAccount kube-system
system:controller:statefulset-controller statefulset-controller
ServiceAccount kube-system