Opción para asegurar el socket docker de los contenedores

1

Objetivo

Comprenda las opciones para asegurar el docker.sock.

Fondo

Como en esos artículos, dar a los contenedores el acceso a docker.sock es un riesgo.

Sin embargo, podría haber casos en los que tengamos que implementar un pod que requiera hablar con el demonio docker a través del socket para monitorear o controlar. Por ejemplo, datadog que monta el zócalo a través de hostPath mount.

Opciones

OpenShift requiere una concesión explícita de SCC, por ejemplo. hostaccess a la cuenta de servicio que ejecuta el pod para que el pod use hostPath, pero es propiedad de OpenShift.

Supongo que se puede usar SELinux para que cualquier pod que acceda al socker docker tenga que tener una etiqueta determinada.

Pregunta

Me gustaría saber si mi comprensión de la etiqueta SELinux es válida y qué otras opciones estarían disponibles.

Referencias

pregunta mon 27.01.2018 - 13:05
fuente

1 respuesta

1

Parece que estás preguntando por Kubernetes. PodSecurityPolicy es la versión mejorada de Kubernetes de las restricciones de contexto de seguridad (SCC) de OpenShift y se puede usar para limitar el acceso a los volúmenes de HostPath. Sin embargo, hay un problema conocido con la implementación AllowedPaths , por lo que es más seguro deshabilitar completamente los volúmenes de HostPath para Pods que no lo requieren. Suponiendo que el socket de la ventana acoplable requiere privilegios de root para acceder, también puede restringir qué contenedores se ejecutan como root (no olvide establecer no_new_privs , deshabilitar AllowPrivilegeEscalation en Kubernetes).

    
respondido por el Tim Allclair 23.05.2018 - 03:04
fuente

Lea otras preguntas en las etiquetas