0
  • 聊天消息
  • 系统消息
  • 评论与回复
登录后你可以
  • 下载海量资料
  • 学习在线课程
  • 观看技术视频
  • 写文章/发帖/加入社区
创作中心

完善资料让更多小伙伴认识你,还能领取20积分哦,立即完善>

3天内不再提示

k8s安全漏洞如何解决

阿铭linux 来源:lp 2019-03-26 14:27 次阅读

具体来说,恶意用户可以使用 KubernetesAPI 服务器连接到后端服务器以发送任意请求,并通过 API 服务器的 TLS 凭证进行身份验证。这一安全漏洞的严重性更在于它可以远程执行,攻击并不复杂,不需要用户交互或特殊权限。

更糟糕的是,在 Kubernetes 的默认配置中,允许所有用户(经过身份验证和未经身份验证的用户)执行允许此升级的发现 API 调用。也就是说,任何了解这个漏洞的人都可以掌控你的 Kubernetes 集群。

最后的痛苦之处在于,对于用户而言,没有简单的方法来检测此漏洞是否已被使用。由于未经授权的请求是通过已建立的连接进行的,因此它们不会出现在 Kubernetes API 服务器审核日志或服务器日志中。请求确实会出现在 kubelet 或聚合的API服务器日志中,但是却无法与正确通过 Kubernetes API 服务器授权和代理的请求区分开来。

现在,Kubernetes 已经发布了修补版本 v1.10.11、v1.11.5、v1.12.3 和 v1.13.0-rc.1。如果仍在使用 Kubernetes v1.0.x 至 Kubernetes v1.9.x 版本,请即刻停止使用并升级到修补版本。

如果由于某种原因无法进行升级,也必须暂停使用聚合的 API 服务器,并从不应具有对 kubelet API 的完全访问权限的用户中删除 pod exec/attach/portforward 权限。

Kubernetes作为一个分布式集群的管理工具,保证集群的安全性是其一个重要的任务。API Server是集群内部各个组件通信的中介,也是外部控制的入口。所以Kubernetes的安全机制基本就是围绕保护API Server来设计的。

Kubernetes使用了认证(Authentication)、鉴权(Authorization)、准入控制(Admission Control)三步来保证API Server的安全。

Kubelet 认证

默认情况下,所有未被配置的其他身份验证⽅法拒绝的,对kubelet的HTTPS端点的请求将

被视为匿名请求,并被授予system:anonymous⽤户名和system:unauthenticated组。

如果要禁⽤匿名访问并发送 401 Unauthorized 的未经身份验证的请求的响应:

启动kubelet时指定 --anonymous-auth=false

对kubelet HTTPS端点启⽤X509客户端证书身份验证:

--client-ca-file 提供 CA bundle 以验证客户端证书

启动apiserver时指定--kubelet-client-certificate和--kubelet-client-key标志

Secret

Kubernetes设计了⼀种资源对象叫做Secret,分为两类,⼀种是⽤于ServiceAccount的

service-account-token

另⼀种是⽤于保存⽤户⾃定义保密信息的Opaque。我们在ServiceAccount中⽤到包含三个

部分:Token、ca.crt、namespace。

token 是使⽤API Server私钥签名的JWT。⽤于访问API Server时,Server端认证。

ca.crt ,根证书。⽤于Client端验证API Server发送的证书。

namespace , 标识这个service-account-token的作⽤域名空间。

更详细参考:https://k8smeetup.github.io/docs/admin/kubelet-authenticationauthorization/

通过kubelet攻击Kubernetes

通过kubelet默认配置对Kubernetes集群上的API Server发起特权访,特权访问有可能会获取集群中的敏感信息,也可能导致节点上机器命令执⾏。

API Server提供了对集群各种资源访问和控制的REST API。

在缺少对TLS身份验证,⽽在⼀些默认配置中启⽤了,--anonymous-auth 默认为true

允许匿名身份访问API,端⼝为10250

/pods # 列出正在运⾏中的pod

/exec # 在容器中运⾏命令并反回信息

这⾥我从shodan上随意找的IP进⾏测试

https://192.168.4.110:10250/pods

获取信息执⾏容器中的命令:

CURL请求:

不过有点可惜,较⽼版本现在已经⾏不通了。

除了通过curl请求,提供了这样的⼀个脚本执⾏Kubelet Anonymous RCE :

https://github.com/serain/kubelet-anon-rce

帮助⽂档例⼦:

如果能执⾏命令可以通过:

/var/run/secrets/kubernetes.io/serviceaccount 获取token

然后访问kube-api server

测试步骤:

1. 访问pods获取信息

2. 获取namespace、pods、container

3. 执⾏exec获取token

4. /var/run/secrets/kubernetes.io/serviceaccount

5. 利⽤Token访问API Server进⾏对pods操作

Kube-Hunter寻找漏洞

使⽤Kube-hunter寻找Kubernetes集群中的安全漏洞。

会对apiserver、dashboard、etcd、hosts、kubelet、ports、proxy进⾏测试。

https://github.com/aquasecurity/kube-hunter

通过⼀些信息判断,发现匿名身份验证,可以访问pods 查看信息。

对外⽹IP扫描:

Kubelet API | 91.xxx.xxx.x2:10255

Kubelet API | 91.xxx.xxx.x2:10250

API Server | 91.xxx.xxx.x2:6443

声明:本文内容及配图由入驻作者撰写或者入驻合作网站授权转载。文章观点仅代表作者本人,不代表电子发烧友网立场。文章及其配图仅供工程师学习之用,如有内容侵权或者其他违规问题,请联系本站处理。 举报投诉
  • 服务器
    +关注

    关注

    12

    文章

    8013

    浏览量

    82209
  • API
    API
    +关注

    关注

    2

    文章

    1370

    浏览量

    60924
  • 安全漏洞
    +关注

    关注

    0

    文章

    143

    浏览量

    16533

原文标题:干货 | k8s安全漏洞如何解决 (上)

文章出处:【微信号:aming_linux,微信公众号:阿铭linux】欢迎添加关注!文章转载请注明出处。

收藏 人收藏

    评论

    相关推荐

    全面提升,阿里云Docker/Kubernetes(K8S) 日志解决方案与选型对比

    摘要: 今天,日志服务再次升级Kubernetes(k8s)的日志解决方案。1分钟内即可完成整个集群部署,支持动态扩容,提供采集宿主机日志、容器日志、容器stdout等所有数据源的一站式采集。点此
    发表于 02-28 12:49

    国产智能扫地机器人被曝存在安全漏洞,易隐私泄露

      导读:安全研究人员发现智能机器人存在两个安全漏洞,导致其容易受到攻击。第一个漏洞可以让黑客对设备拥有超级用户权限,可以远程控制它们在家里运动,这有点令人毛骨悚然。第二个漏洞允许黑客
    发表于 07-27 09:29

    K8S容器编排的互通测试

    K8S容器编排之NetWorkPolicy官方实例
    发表于 06-06 11:28

    k8s核心原理学习指南3

    k8s学习3 - 核心原理
    发表于 09-25 16:37

    k8s volume中的本地存储和网络存储

    八 、 k8s volume 本地存储和网络存储
    发表于 03-25 08:44

    搭建K8s环境平台的步骤

    1 搭建K8s环境平台规划1.1 单master集群1.2 多master集群
    发表于 11-04 06:03

    开发人员和嵌入式系统设计人员如何使用JWT关闭物联网设备的安全漏洞

    本文将介绍物联网设备安全威胁,并介绍目前用于应对该威胁的设备。它将确定安全漏洞以及开发人员和嵌入式系统设计人员如何使用JWT关闭它们。
    发表于 06-16 06:17

    软件安全漏洞的静态检测技术

    软件安全漏洞问题日益严重,静态漏洞检测提供从软件结构和代码中寻找漏洞的方法。该文研究软件漏洞静态检测的两个主要方面:静态分析和程序验证,重点分析词法分析、规则
    发表于 04-20 09:38 17次下载

    Linux发现更多安全漏洞LHA 与imlib受到波及

    Linux 发现更多安全漏洞 LHA 与imlib 受到波及 日前,开放源开发商已经发出警告,称两种Linux 部件内出现严重的安全漏洞。利用这些漏洞
    发表于 06-12 10:07 454次阅读

    Intel发布补丁 修复vPro安全漏洞

    Intel发布补丁 修复vPro安全漏洞 近日来自波兰的研究人员指出Intel基于芯片的安全保护措施存在安全漏洞,其TXT(可信赖执行技术)中的执行错误
    发表于 12-24 09:06 569次阅读
    Intel发布补丁 修复vPro<b class='flag-5'>安全漏洞</b>

    Intel披露一种新的CPU安全漏洞

    和年初的Meltdown(熔断)和Spectre(幽灵)漏洞类似,Intel披露了一种新的CPU安全漏洞,攻击目标是一级缓存,级别“高危”。
    的头像 发表于 08-16 17:32 3252次阅读

    Facebook发现安全漏洞 扎克伯格称正在认真对待

    最近Facebook公司宣布他们发现了自家产品上的一个安全漏洞,这个安全漏洞非常严重,黑客可以利用它来获取用户信息,漏洞可能会影响5000万个用户账号。
    的头像 发表于 10-14 17:39 3072次阅读

    微软开发出一种新系统 区分安全漏洞和非安全漏洞准确率高达99%

    微软声称已经开发出一种系统,在测试中区分安全漏洞和非安全漏洞准确率达99%,并且识别出关键的、高优先级的安全漏洞准确高达97%。在接下来的几个月里,微软计划在GitHub上开源这个方法,以及一些示例模型和其他资源。
    的头像 发表于 04-17 11:04 3330次阅读

    虹科分享|如何解决勒索软件安全漏洞

    近年来,各种网络攻击的数量和频率都在增加,每分钟都会发生数次勒索软件的攻击入侵。如何解决勒索软件安全漏洞?答案是使用移动目标防御(MTD)技术。MTD技术利用多态性,以不可预测的方式向对手隐藏应用程序和操作系统目标。欢迎阅读,了解更多。
    的头像 发表于 07-22 14:24 364次阅读
    虹科分享|如<b class='flag-5'>何解</b>决勒索软件<b class='flag-5'>安全漏洞</b>

    如何消除内存安全漏洞

    “MSL 可以消除内存安全漏洞。因此,过渡到 MSL 可能会大大降低投资于旨在减少这些漏洞或将其影响降至最低的活动的必要性。
    发表于 12-12 10:29 158次阅读
    如何消除内存<b class='flag-5'>安全漏洞</b>