安徽网站建设认准-晨飞网络,视频拍摄制作合同,wordpress 开源模板,做国际生意的网站有哪些0x00 前言
说到云安全肯定不能避免的是集群相关的内容#xff0c;最出色的就是Kubernetes#xff0c;也就是k8s。当然docker相关的内容也算是集群的一部分。但是docker容器本身的问题还是归属于容器本身。
0x01 概述
在集群攻击入口处的内容主要为#xff1a;
应用安全恶…0x00 前言
说到云安全肯定不能避免的是集群相关的内容最出色的就是Kubernetes也就是k8s。当然docker相关的内容也算是集群的一部分。但是docker容器本身的问题还是归属于容器本身。
0x01 概述
在集群攻击入口处的内容主要为
应用安全恶意镜像K8s APi Server未授权访问kubelet未授权访问etcd未授权访问Docker Daemon 公网暴露Dashboard面板暴露k8s configfile泄露私有镜像库暴露
0x02 应用安全
这里的应用安全实际上和云服务器的应用安全是一致的都是针对传统web安全来说因为部署在哪里都不能让应用安全改变的是部署方式并不是应用本身所以传统web问题依然存在。
0x02 恶意镜像
这里的恶意镜像通常指代的是docker恶意镜像因为docker镜像的管理更加混乱任意组织或者个人都可以上传自己制作的docker容器那么这个问题就很严重如果直接部署了存在恶意后门的镜像或者监控等后门那么去做这种容器的安全就没有任何意义。
那么应用而生的就是私有仓库或者第三方提供安全检测的仓库以及专门的容器检测工具。
通过私有库和容器检测工具进行风险排查和规避通过第三方提供的安全库进行风险转移都是一个不错的选择。
这里不进行展开会单独出一个docker容器检测或者私有库搭建的内容
0x03 K8s APi Server未授权访问
通常使用 8080 和 6443 端口将 “system:anonymous” 用户绑定到 “cluster-admin” 用户组就可以创建特权容器。
0x04 kubelet未授权访问
kubelet 是 Kubernetes 集群中的一个组件它负责管理节点上的容器。kubelet 会定期从 API Server 获取 Pod 的配置信息并根据配置信息来启动、停止、重启容器以及监控容器的运行情况。kubelet 还负责节点的健康检查当发现节点出现故障时会向 Master 报告节点的状态以便 Master 进行相应的调度。总之kubelet 是 Kubernetes 集群中非常重要的一个组件。
1、认证为AlwaysAllow的时候此接口可未授权访问 2、10255端口出现的pod和node信息信息泄露问题
0x05 etcd未授权访问
etcd是一个开源的分布式键值对存储仓库常用于分布式系统中的协调服务和共享配置。etcd使用Raft一致性算法来维护集群的一致性和高可用性支持通过HTTP或gRPC接口进行访问和操作。它是Kubernetes等分布式系统的重要组件之一用于存储集群的配置信息、状态信息、元数据等数据。
1、client-cert-auth未授权 2、2379公网泄露 3、cret证书泄露 4、client-cert-auth未授权
0x06 Docker Daemon 公网暴露
Docker Daemon 是 Docker 的后台进程它监听 Docker API 请求并管理 Docker 镜像、容器、网络和数据卷等资源。Docker Daemon 运行在宿主机上并负责执行用户提交的 Docker 命令例如创建、启动、停止、删除容器上传和下载镜像等。Docker CLI 客户端通过与 Docker Daemon 进行交互将用户提交的命令转化为 API 请求并将请求发送给 Docker Daemon 去处理。
docker daemon监听在/var/run/docker.sock中创建的unix socket2375端口用于未认证的HTTP通信2376用于可信HTTPS通信
Docker时默认会把2375端口对外开放
0x07 Dashboard面板暴露
Dashboard面板是一种可视化的数据展示界面可以展示各种类型的数据和分析结果。通常用于企业的数据分析和决策制定可以提供实时的数据和反馈。Dashboard面板通常包括多个组件如图表、计数器、地图和表格等用户可以根据自己的需求自定义展示内容和排版布局。
当Dashboard面板暴露泄露的时候Dashboard面板本身就会成为一个比较大的攻击面。
0x08 k8s configfile泄露
configfile作为K8s集群的管理凭证其中包含有关K8s集群的详细信息,默认的 kubeconfig 文件 $HOME/.kube/config。
0x09 私有镜像库暴露
如果私有镜像库暴露的话那么如果攻击者拥有了操作私有镜像的权限就可以上传恶意镜像从而进行恶意攻击。
以上都是集群在初始访问阶段可能遇到的一些问题如果有任何遗漏再进行补充并且每一个部分都会单独形成一篇攻与防的文章以及对一些工具的探讨和整合。
