ref: https://www.cyberark.com/resources/threat-research-blog/securing-kubernetes-clusters-by-eliminating-risky-permissions
本篇文章是一個基礎分享文,整個主軸圍繞於 Authentication 與 Authorization 兩大塊,同時透過這兩大概念的介紹來分享一些會可能會有資安問題的設定
開頭作者探討了 Kubernetes 的架構,並且將 API Server 這個重點核心拿來出探討,提到為了存取 Kubernetes API,使用者必須要經過三個階段的處理,分別是
Authentication, Authorization 以及 Admission Control
接者用一個簡單的流程來說明上述三者的差異,假設今天有一個 Client 想要請求 API Server 幫忙創建一個 Pod 的物件。
首先 API Server 會針對該請求進行 Authentication 的檢查,通常情況下會使用 Certificate, Tokens, Basic Authentication(username/password) 來判別。
如果通過後,則會進入到 Authorization 的階段,該階段要判別發送當前 Request 的 Client 是否擁有創建 Pod 的權限,如果有權限就會把相關操作交給後續的 Admission Control 來處理。
文章中舉了一個名為 AlwaysPullImages 的 Admission Controller,該 Controller 對於一個多用戶的 Kubernetes Cluster 來說特別有用,主要是用來確保使用者 A 想要使用的 Private Image 不能被使用者 B 存取。
試想一個情況,假設今天使用者 A 順利於 NodeA 上抓取了自己的 Private Image,那使用者 B 假如很剛好知道這個 Image 的名稱,是不是有機會就可以不需要相關權限直接使用 NodeA 上的 Image?
所以這個 Admission Controller 就是用來避免這個問題的。
接者作者從 Authentication 與 Authorization 中個挑選一個方式來介紹並且講解這兩者如何結合的。
Authentication 使用的是 Service Account Token,管理會事先於 Kubernetes 內創立一個相關的 Service Account,並且把該 SA(Service Account) 的 Token 給交給 Client(Kubeconfig 也可)
Client 發送 HTTPS 請求到 API Server 的時候就可以夾帶這個 Token 的資訊,這樣 API Server 就會去檢查該 Token 是否存在於 Cluster 內。
事實上當每個 Pod 被創立後, Kubernetes 預設情況下就會將該 namespace 下的 service account 資訊給掛載到該 Pod 內的 "/var/run/secrets/kubernetes.io/serviceaccount" 這個路徑
這樣該 Pod 就可以使用該 Service Account Token 的資訊與 API Server 溝通。
Authorization 則是使用 RBAC 的方式來處理, RBAC 由三個部分組成,分別是 Role(代表可以針對 Cluster 進行什麼樣類型的操作,譬如 create pod, delete pod), Subject(你是誰,譬如 Service Account), RoleBinding(用來將 Role 與 Subject 給綁定)
管理員要創建並且管理這些叢集的話,就要好好的去設計這三個物件的關係,來確保最後的 Client 可以擁有剛剛好符合其需求的權限,千萬不要為了懶散而給予過多權限。
接者作者列舉了五種 Risky permissions 的可能情境
1. Listing secrets
大部分的應用程式開發者都會使用 secret 的物件來管理一些機密資訊,如帳號密碼,憑證等,所以一個擁有 list secrets 的 service account 其實是相對危險的。
非必要的話,不要讓管理員以外的任何使用者有這個權限,特別是使用 ClusterRole/ClusterRoleBinding 時要特別注意
2. Creating a pod with a privileged service account
假設今天有一個攻擊者已經獲得一個可以創建 pod 的 service account,那該攻擊者已經可以很順利的於叢集內創建 Pod 去進行基本操作(譬如挖礦)
如果攻擊者很巧地又知道目標 namespace 內存在一個很強的 service account,它就有辦法讓他創立的 Pod 去使用這個很強的 Service Account 並且進行更多後續操作
3. Impersonating privileged accounts
作者提到 Impersonating 這個 Role 裡面的動作要特別小心使用,擁有這個權限的使用者可以輕鬆化身為其他的使用者/群組
舉例來說,一個擁有 Impersonating -> users/group 的 serviceaccount 是沒有辦法看到任何 secrets 的物件。
但是攻擊者只要使用的時候加上 --as=null --as-group=system:master 則就會變成如 master 般的上帝擁有這些權限
因此這種權限設定上要特別小心
4. Reading a secret – brute-forcing token IDs
5. Creating privileged RoleBindings
後續兩個有興趣的可以參考全文,都是滿有趣的一些想法,值得閱讀擴展自己的認知
同時也有26部Youtube影片,追蹤數超過3萬的網紅清玉KTOAO,也在其Youtube影片中提到,#APEX手把 #APEX教學 #APEXController 水大師 Twitch 直播頻道 ➔ https://www.twitch.tv/ktoaob ------------------------------------------------------------------...
「master controller」的推薦目錄:
master controller 在 Gizmodo Japan Facebook 的最讚貼文
『電車でGO!!』といえばコレでしょ。ニンテンドースイッチ用マスコン登場 https://www.gizmodo.jp/2021/06/master-controller-for-nintendo-switch.html?utm_source=facebook&utm_medium=feed&utm_campaign=a4158a64b9af9b9640b2b3b7464c9f49
master controller 在 UNIKO's Hardware Facebook 的最佳貼文
UH 教你如何透過 Ryzen Controller 放寬功耗限制,解放 AMD Ryzen Mobile 處理器效能~
#AMD #Ryzen #Mobile #UH
master controller 在 清玉KTOAO Youtube 的最佳貼文
#APEX手把 #APEX教學 #APEXController
水大師
Twitch 直播頻道 ➔ https://www.twitch.tv/ktoaob
-----------------------------------------------------------------------------------------------------------
Instagram ➔ https://www.instagram.com/ktoao_rtb/
推特 Twitter ➔ https://twitter.com/KTeaQAQ
歐付寶Donate ➔ https://payment.opay.tw/Broadcaster/D...
FB粉絲團 ➔ https://www.facebook.com/KTOAO/
工商、聯絡信箱 ➔ kingteaoao89062918@gmail.com
master controller 在 Dainghia25 Youtube 的精選貼文
Remnant: From the Ashes | PS4
“In this third-person survival action shooter, play as one of the last remnants of humanity attempting to retake a world overrun by monstrous, interdimensional invaders. Venture into dynamically-generated worlds alone or with up to two other survivors, scavenging for supplies and modding your equipment to strengthen your chances of survival when tackling over 100 deadly varieties of enemy and battling epic bosses”
Maquette | PS5
“All that is tiny is simultaneously huge in this intriguing first-person puzzler designed around an Escher-esque recursive simulation. Making its PlayStation 5 debut as part of next month’s PlayStation Plus lineup, Maquette sets you in the center of a world the rules of which are very different from our own. Solutions to puzzles require you to twist the world recursively – manipulating the landscape of a diorama will see those changes mirrored in the life-sized version that surrounds you. If you get perplexed by a puzzle, you can call up PS5’s Game Help for helpful hints to solve Maquette’s tougher conundrums.”
Farpoint | PS VR
“Master an arsenal of weapons to keep yourself alive on a hostile alien world in this free-roaming, first-person PS VR shooter. Optimized for the PlayStation VR Aim controller and fully playable with a DualShock wireless controller, strike out towards your crashed space station solo or with a friend in online co-op. Trade alien threats for testing each other’s skills in a variety of Versus game modes.”
Final Fantasy VII Remake | PS4
“Square Enix’s modern reimagining of its iconic RPG boasts unforgettable characters, a mind-blowing story and epic battles. Return to the city of Midgar as Cloud Strife, former member of Shinra’s elite SOLDIER unit now turned mercenary, lends his aid to the resistance group Avalanche. Initially executing daring raids against Shinra to fight back against its planet-threatening machinations, Cloud and his comrades are unaware of the epic consequences that await them.
The story of this first, standalone game in the Final Fantasy VII Remake project covers up to the party’s escape from Midgar, and goes deeper into the events occurring in Midgar than the classic original.”
“Please note the PS4 version of Final Fantasy VII Remake available to PlayStation Plus members is not eligible for the PS5 digital version upgrade.“
▶ SUBSCRIBE MY CHANNEL : https://goo.gl/VPOrGK
▶ RENUMBER LIKE, SUBSCRIBE AND SHARE MY VIDEO!!!
▶ Fanpage Facebook : https://www.facebook.com/dainghia25gaming
▶ Facebook : https://www.facebook.com/dainghia25
master controller 在 detarame japanese.ch. Youtube 的最佳貼文
★ジョイボール/joyball(ファミコン用の増設コントローラ)
1985年夏、時代は高度成長期真っ只中の「神が住む国」と言われる日本から世界初の連射機能モード(15連射)を搭載し世界にその名を轟かせた。
当時の高橋名人による連射ブームに乗ってチビっ子達から絶大な人気を博し、当時のキャッチコピーは「ジョイスティックを超えた新兵器」「点とり虫の、どこが悪い。」など、富、名声、権力をも手に入れた。
同じ年にMSX対応版も発売され購入してから涙したチビっ子達も少なからず存在してしまう。
翌年以降、競合他社から、16・24・32連射などより高度な連射機能を搭載してたハドソンの「ジョイカードMk-II」・「ホリ電機のホリコマンダー」などのコントローラ・ジョイスティックが発売された。また、ゲームによっては操作の難しいケースもあったが、コチラに人気をさらわれ、一年という短い期間で、その輝かしい栄光も人々の記憶から消え去っていってしまう・・・
しかし伝説は語られ、世界に散らばる数少ないレトロゲームユーザーの間で、その存在は息を潜め、闇を照らし微かな光で輝き続け、時代は「令和」となり世界最大動画サイトyoutubeにて再び脚光を浴び「ファイティングスティック業界に革命」を、起こせるのか!?という個人的な勝手な想いで、壮大かつスペクタクルにジョイボールでSFCのStreet Fighter2を検証プレイしました
昔からの夢が叶ってよかったです。
In the summer of 1985, Japan was said to be the "country where God lives" in the midst of the high-growth period, and it was equipped with the world's first rapid-fire function mode (15-shot) and made its name known to the world.
Riding on the boom of rapid fire by Master Takahashi at that time, it gained immense popularity from the little ones, and the catch phrase at that time was "a new weapon beyond the joystick" and "what's wrong with the spotting insect", wealth and fame. , Also gained power.
In the same year, the MSX compatible version was released, and there are quite a few little children who cried after purchasing it.
From the following year, competitors released controller joysticks such as Hudson's "Joycard Mk-II" and "Hori Electric's Hori Commander" equipped with more advanced continuous shooting functions such as 16/24/32 continuous shooting. .. Also, depending on the game, there were cases where it was difficult to operate, but it became popular here, and in a short period of one year, its glorious glory disappeared from people's memory ...
However, the legend is told, and among the few retro game users scattered around the world, its existence holds its breath, illuminates the darkness and continues to shine with a faint light, the era became "Reiwa" and it is in the limelight again on the world's largest video site youtube. Can you make a "revolution in the fighting stick industry"? With a personal selfish feeling, I played SFC's Street Fighter 2 with a joyball in a spectacular and spectacular manner.
I'm glad that my old dream came true.
I played Street Fighter 2 of SFC with joyball
I'm glad my old dream came true
★動画の全体はコチラから↓
https://youtu.be/3NyoUaYmB1Q
「Detarame Japanese ch.」の俺はKATANAです
★チャンネルスケジュール
・月~金の平日は大体ゲーム動画でアップの時間は18時~0時位まで(未定)
・DIY動画「あきらんち」毎週日曜日 朝8時UP
・ライブ配信の時間は特に決まっていません
色々不定期ですがチャンネル登録で応援よろしくお願いします!!
チャンネルスポンサー・スパチャの応援いつもありがとうございます
今後の配信環境や機材等をよりレベルの高いモノにできますので、ご協力よろしくお願いします。
★チャンネルメンバー登録
https://www.youtube.com/channel/UCtJeI0_0a2nUB9SHnbDLn7w/join
★スローモーション動画集/Slow motion movie collection
https://www.youtube.com/playlist?list=PLyFGe5mHHiQNqL0j8dAv6d4oAmY7bRNZZ
★再生リストに動画をシリーズとして観やすくまとめてあります
https://www.youtube.com/channel/UCtJeI0_0a2nUB9SHnbDLn7w/playlists?view=1&flow=grid&view_as=subscriber
★欲しい物リスト・あったら便利な物(Crowdfunding)
https://www.amazon.co.jp/gp/registry/wishlist/23EAJS76IJ4YB/ref=nav_wishlist_lists_1
★ツイッター・twitter(youtubeで発言出来ない事専用)
https://twitter.com/DETARAME_JAPAN
★PS4コミュニティー
「大日本DETARAME帝國」に参加される方はご自由に^^
☆使用デバイス☆
☆レトフリ
https://amzn.to/3hlidFf
☆メガドライブ メガドライブメガネ
https://amzn.to/3ivMq4V
☆【PUBG JAPAN SERIES 2018推奨ギア】
LOGICOOL ゲーミングキvーボード G105
https://amzn.to/34wqmjw
☆リアルアーケードPro.V3 SA(PS3/PC)
https://amzn.to/2O20czD
☆キャプチャーボード
TreasLin USB3.0 HDMI ビデオキャプチャーボード
https://amzn.to/32tMfyb
☆PS4使用マイク
CLASSIC PRO クラシックプロ USB接続スタジオコンデンサーマイク CMU1
https://amzn.to/2ZPO8rf
☆ソニー SONY コンデンサーマイク ステレオ/ICレコーダー・ビジネス用 ECM-CS3
https://amzn.to/2HazKPV
☆マイクスタンド 卓上 コンデンサー グースネック マイクアーム ポップブロッカー ポップガード ショックマウント
https://amzn.to/3b7q4lz
☆卓上型マイクスタンド
https://amzn.to/34sqxN3
※amazonのリンクはアソシエイトリンクを使用しております
★最後まで読んで頂きありがとうございました★
#スト2検証動画 #スクリューパイルドライバー #Зангиев