問題タブ [kubernetes-security]

Kubernetes クラスター管理者として、いくつかの特別な Pod の SHARED Kubernetes クラスターでchown、dac_override、およびfowner Linux 機能を有効にするように依頼されました。

しかし、コンテナでこれらの機能を開くのは恐ろしいことがわかりました: https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick

Pod がこれらの機能を Pod 内のファイル/フォルダーに対してのみ使用できるかどうかを知りたいですか? または、ホストファイル/フォルダーでそれらを使用して何かをハッキングすることもできますか?

RunAsRoot アクセス許可も開きますが、Privileged アクセス許可を無効にします。

Kube クラスターでこれらの機能を有効にするには、セキュリティ上の問題があるかどうかを知りたいですか?

または、一部の特別な Pod にこれらの機能を許可する方法はありますか?

どうもありがとう！

プラグインを使用して非ユーザーとして実行しているイメージ (リポジトリgradleからプル)を実行する方法を教えてください。dockerjibrootKubernetes pod

gradleを使用してイメージをビルドしましたGradle 4.6。

でこの画像を使用していKubernetes podます。

イメージを user - として実行するrootと、gradleビルドは成功します。

root非ユーザーとしてイメージを実行すると(pod RBAC有効化のため)、ディレクトリgradleを作成できず/.gradle、十分な権限がなく、以下のエラーが発生するため、ビルドが失敗します。

Linux amd64 のネイティブ ライブラリ 'libnative-platform.so' の読み込みに失敗しました。

イメージを使用してビルドを正常に実行するために、非rootユーザーが通過したことを許可する方法はありますか?securityContextgradle

ディレクトリのアクセス許可を に変更せずに問題を解決するより良い方法はありますか777?

前もって感謝します！！