Kubernetes クラスター管理者として、いくつかの特別な Pod の SHARED Kubernetes クラスターでchown、dac_override、およびfowner Linux 機能を有効にするように依頼されました。
しかし、コンテナでこれらの機能を開くのは恐ろしいことがわかりました: https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick
Pod がこれらの機能を Pod 内のファイル/フォルダーに対してのみ使用できるかどうかを知りたいですか? または、ホストファイル/フォルダーでそれらを使用して何かをハッキングすることもできますか?
RunAsRoot アクセス許可も開きますが、Privileged アクセス許可を無効にします。
Kube クラスターでこれらの機能を有効にするには、セキュリティ上の問題があるかどうかを知りたいですか?
または、一部の特別な Pod にこれらの機能を許可する方法はありますか?
どうもありがとう!