設定檔適用性:等級 1
避免使用非預設的
ClusterRoleBindings和RoleBindings與群組system:unauthenticated,除了ClusterRoleBinding system:public-info-viewer。Kubernetes 將群組
system:unauthenticated 指派給沒有提供驗證資訊的 API 伺服器請求。將角色綁定到此群組會使任何未經驗證的使用者獲得該角色授予的權限,強烈不建議這樣做。預設值:
ClusterRoleBindings 與群組 system:unauthenticated:
system:public-info-viewer
沒有與群組
system:unauthenticated相關的RoleBindings。影響
未經身份驗證的使用者將擁有與配置綁定相關的角色所賦予的權限和許可。
在從環境中移除任何非預設的
clusterrolebindings或rolebindings之前,應謹慎行事,以確保它們不是集群運行所需的。使用更具特定性和已驗證的使用者進行集群操作。稽核
應審核
CusterRoleBindings和RoleBindings。使用以下命令確認沒有非預設的ClusterRoleBindings來分組system:unauthenticated:$ kubectl get clusterrolebindings -o json | jq -r '["Name"], ["-----"], (.items[] | select((.subjects | length) > 0) | select(any(.subjects[]; .name == "system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | @tsv'
僅顯示以下預設
ClusterRoleBinding:Name
-----
system:public-info-viewer
如果存在任何非預設綁定,請使用以下命令檢查其權限並重新評估其特權。
$ kubectl get clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] -o json \
| jq ' .roleRef.name +" " + .roleRef.kind' \
| sed -e 's/"//g' \
| xargs -l bash -c 'kubectl get $1 $0 -o yaml'
確認沒有包含
system:unauthenticated 群組的 RoleBindings:$ kubectl get rolebindings -A -o json \
| jq -r '["Namespace", "Name"], ["---------", "-----"], (.items[] |
select((.subjects | length) > 0) | select(any(.subjects[]; .name ==
"system:unauthenticated")) | [.metadata.namespace, .metadata.name]) | @tsv'
不應列出
RoleBindings。如果存在任何綁定,請使用以下命令檢查其權限並重新評估其特權。
$ kubectl get rolebinding [ROLE_BINDING_NAME] --namespace
[ROLE_BINDING_NAMESPACE] -o json \
| jq ' .roleRef.name +" " + .roleRef.kind' \
| sed -e 's/"//g' \
| xargs -l bash -c 'kubectl get $1 $0 -o yaml --namespace
[ROLE_BINDING_NAMESPACE]'
補救
識別所有非預設的
clusterrolebindings和rolebindings至群組system:unauthenticated。檢查它們是否被使用,並使用上面審核部分中的命令或參考GKE 文件來檢視與綁定相關的權限。強烈建議將非預設、不安全的綁定替換為經過身份驗證的使用者自定義群組。在可能的情況下,請綁定到具有最低權限角色的非預設使用者自定義群組。
如果群組
system:unauthenticated 存在任何非預設、不安全的綁定,請在考慮叢集操作後,僅保留必要且較安全的綁定,並刪除其他綁定。kubectl delete clusterrolebinding [CLUSTER_ROLE_BINDING_NAME] kubectl delete rolebinding [ROLE_BINDING_NAME] --namespace [ROLE_BINDING_NAMESPACE]