usdt官方交易所(www.usdt8.vip):浅谈云上攻防——Kubelet接见控制机制与提权方式研究

新2网址大全

www.22223388.com)实时更新发布最新最快最有效的新2网址和新2最新网址,包括新2手机网址,新2备用网址,皇冠最新网址,新2足球网址,新2网址大全。

,

靠山

近些年针对kubernetes的攻击出现愈演愈烈之势,一旦攻击者在kubernetes集群中站稳脚跟就会实验渗透集群涉及的所有容器,尤其是针对接见控制和隔离做的不够好的集群受到的损害也会越大。例如由unit 42研究职员检测到的TeamTNT组织的恶意软件Siloscape就是行使了泄露的AWS凭证或错误设置从而获得了kubelet初始接见权限后批量部署挖矿木马或窃取要害‘hai’信息如用户名和密码,组织『zhi』隐秘和内部文件,甚至控制集群中托管的整个数据库从而提议勒索攻击。凭证微步在线的统计上一次遭受其攻击的IP地址90%以上属于中国,因此需要平安职员实时关注并提前规避风险。Siloscape详细攻击流程如图1所示。

图 1-Siloscape攻击流程

Kubernetes集群中所有的资源的接见和调换都是通过kubernetes API Server的REST API实现的,以是集群平安的要害点就在于若何识别并认证客户端身份而且对接见权限的判断,同时K8S还通过准入控制的机制实现审计作用确保最后一道平安底线〖xian〗。除此之外K8S还配有一系列的平安机制(如Secret和Service Account等)配合实现集群接见控制的平安,详细请求如图2所示:

图 2-Kubernetes API请求

其中用户所控制的kubectl即每个Node节点都市启用的历程,可以把kubelet明晰成【Server-Agent】架构中的agent,用来处置Master节点下发到本节点的义务,治理Pod和其中的容器,好比确立容器、Pod挂载数据卷、下载secret、获取容器和节点状态等事情。Kubelet会在API Server上注册节点信息,定期向Master汇报节点资源使用情形。若是没有做好相关的权限管控或其遭受了任何的攻击都可能导致对k8s集群更普遍的危害。如以下图3操作。

图 3-Kubectl操作

K8S认证鉴权

认证阶段(Authentication)

认证阶段即判断用户是否为能够接见集群的正当用户,API Server目条件供了三种计谋多种用户身份认证方式,他们划分如下表1:

序号

认证计谋

认证方式

1

匿名认证

Anonymous requests

2

白名单认证

BasicAuth认证

3

Token认证

Webhooks、Service Account Tokens、OpenID Connect Tokens等

4

X509证书认证

clientCA认证,TLS bootstrapping等

表 1-认

其中X509是kubernetes组件间默认使用的认证方式,同时也是kubectl客户端对应的kube-config中经常使用到的接见凭证,是一种对照平安的认证方式。

鉴权阶段(Authorization)

当API Server内部通过用户认证后,就会执行用户鉴权流程,即通过鉴权计谋决议一个API挪用是否正当,API Server现在支持以{yi}下鉴权计谋

序号

鉴权计谋

概述

1

Always

分为AlwaysDeny和AlwaysAllow,当集群不需要鉴权时选择AlwaysAllow

2

ABAC

基于属性的接见控制

3

RBAC

基于角色的接见控制

4

Node

一种对kubelet举行授权的特殊模式

5

Webhook

通过挪用外部REST服务对(dui)用户鉴权

表 2-鉴权

其中Always计谋要制止用于生产环境中,ABAC虽然功效壮大然则难以明晰且设置庞大逐渐被RBAC替换,若(ruo)是RBAC无法知足某些特定『ding』需求,可以自行编写鉴权逻辑并通过Webhook方式注册为kubernetes的授权服务,以实现加倍庞大的授权规则。而Node鉴权计谋主要是用〖yong〗于对kubelet发出的请求举行接见控制,限制每个Node只接见它自身运行的Pod及相关Service、Endpoints等信息。

准入控制(Admission Control)

突破了如上认证和鉴权关卡之后,客户端的挪用请求还需要通过准入控制的层层磨练,才气获得乐成的响应,kubernetes官方尺度的选项有30多个,还允许用户自界说扩展。大要分为三类验证型、修改型、夹杂型,顾名思义验证型主要用于验证k8s的资源界说是否相符规则,修改型用于修改k8s的资源界说,如添加label,一样平常运行在验证型之前,夹杂型及两者的连系

AC以插件的形式运行在API Server历程“cheng”中,会在鉴权阶段之后,工具被持久化etcd之前,阻挡API Server的请求,对请求的资源工具执行自{zi}界‘jie’说(校验、修改、拒绝等)操作。

Kubelet认证鉴权

认证

usdt收款平台

菜宝钱包(www.caibao.it)是使用TRC-20协议的Usdt第三方支付平台,Usdt收款平台、Usdt自动充提平台、usdt跑分平台。免费提供入金通道、Usdt钱包支付接口、Usdt自动充值接口、Usdt无需实名寄售回收。菜(cai)宝Usdt钱包一键生成Usdt钱包、一键调用API接口、一键无实名出售Usdt。

Kubelet现在共有三种认证方式:

1.允许【xu】anonymous,这时可不设置客户端证书〖shu〗

authentication:    
     anonymous:        
         enabled: true

2.webhook,这时可不设置客户端证书

authentication:    
     webhook:      
         enabled: true

3.TLS认证,也是现在『zai』默认的认证方式,对kubelet 的 HTTPS 端点启用 X509 客户端证书认证。

authentication:    
    anonymous:        
        enabled: false    
    webhook:      
        enabled: false    
    x509:      
      clientCAFile: xxxx

然而在现实环境当你想要通过kubectl下令行接见kubelet时,无法通报bearer tokens,以是无法使用webhook认证,这时只能〖neng〗使用x509认证。

鉴权

kubelet可设置两种鉴权方式划分为AlwaysAllow和Webhook,默认的及平安模式AlwaysAllow,允许所有请求。而Webhook的鉴权历程时委托给API Server的,使用API Server一样的默认鉴权模式即RBAC。

通常在现实环境中需要我们通过TBAC为用户设置相关权限,包罗设置用户组以及其相对应的权限。并最终将用户和角色绑定完成权限的设置。

TLS bootstrapping

TLS在现实实现的时刻成本较高,尤其集群中众多的kubelet都‘du’需要与kube-API Server通讯,若是由治理员治理证书及权限,很有可能会由于证书过时等问题泛起杂乱。这时刻Kubelet TLS Bootstrapping就应运而生了。其主要实现两个〖ge〗功效第一,实现kubelet与kube-API Server之间的自动认证通讯;第二,限制相关接见API Server的权限。

K8s现在默认通过TLS bootstrapping这套机制为每个kubelet设置署名证书确保与API Server的交互平安。其焦点头脑是由kubelet自已天生及向API Server提交自已的证书署名请求文件(CSR),k8s-master对CSR签发后,kubelet再向API Server获取自已的署名证书,然后再正常接见API Server。详细如图所示:

图 4-Kubelet TLS bootstrapping事情流程

Kubelet提权案例

攻击路径

为了演示kubelet提权攻击,下面会展示一个简朴的攻击场景,从获取TLS指导凭证最先,最终获得集群中集群治理员的接见权限。

攻击步骤

由于Kubelet需要依据凭证与API服务器通讯,当攻击者已经控制了集群中部门运行的容器后可以依托这些凭证接见API服务器,并通过提权等手段来造成更大的影响。

1、首先攻击者需要获取到Node权限并找到kubelet TLS指导凭证,见下图:

2、实验使用TLS凭证检索有关kubernetes节点的信息,由于这些凭证仅有确立和检索证书署名请求的权限即指导凭证用来向控制端提交证书署名请求{qiu}(CSR)以是通常会看到找不到相关资源。

其中kubectl auth can-i子下令有助于确定当前凭证是否可以执行相关下令。

3、由于权限不足,可以使用get csr实验成为集群中的假事情节点,这样将允许我们执行更多的『de』下令如列出节点、服务和pod等,然则仍然无法获取更高级其余数据。

我们使用cfssl为假节点天生CSR,同时将其提交至API Server供其自动批准该证书,通常情形下kube-controller-manager设置为自动批准与前缀一致的署名请求,并发出客户证书,随后该节点的kubelet即可用于常用功效。

 4、之后我们将批准通过的证书保留,此时即可查看节点信息等相关内容。

5、为了获取更高的权限,我们实验使用另一个事情节点天生新的CSR,并要求API Server自动通过该证书。

6、我们将新批准的证书保留并以此证书检查相关的pod信息发现有了密钥信息,然则当我们实验去读取的时刻仍然显示权限不足。

7、我们再次实验其他pod看是否拥有更高级其余权限,重复之前的证书制作并发送至API Server请求批准,这次权限显著高了许多,我们乐成获取到了ca.crt以及token。

8、接下来我们实验使用该token,设置好环境变量并获取默认命名空间中的所有资源。

9、最后我们检查其角色的绑定,发现该服务账户已于“cluster-admin”角色绑定。

即其为最高权限的账户,至此我们可以执行种种差其余攻击。如从事情节点的实例窃取服务账户令牌接见云资源、列出设置、确立特权容器、后门容器等。

Kubernetes具有普遍的攻击面,其中kubelet尤为主要,本案例通过泄露的凭证最先,通过列出相枢纽点、实例天生和提交CSR充当事情节点,并最终获得集群治理员接见权限从而窃取TLS Bootstrap凭证。

缓解措施

在现实生产{chan}环境中,一定要珍爱好kubelet凭证的数据制止类似“si”的提权事宜发生,同时还可以搭配以下几点方式来加固k8s的平安。

1、珍爱好元数《shu》据,元数据由于其敏感性务必在服务后台增强对元数据读取的管控,制止攻击者通过元数据读取到相关凭证信息,哪怕是低权限的凭证。

2、通过更平安的网络计谋制止类似提权事宜发生,默认情形下拒绝所有出站通讯,然后凭证〖zheng〗需要将出站流量列入白名单。在pod上应用该网络计谋,由于需要接见API服务器和元数据的是node而不是pod。

3、启用类似Istio这样的服务网格并设置egress gateway,这将阻止部署在服务网格中的 de[任何容器与任何未经授权的主机举行通讯

4、限制对主节点的网络接见,如上案例基本都发生在集群,以是传统的vpn也无法阻止相关危害,用户可以直接限制对主服务器的接见来制止k8s的许多攻击。

参考文献

1.https://www.cnblogs.com/huanglingfa/p/13773234.html

2.https://cloud.tencent.com/developer/article/1553947

3.https://kubernetes.io/zh/docs/reference/access-authn-authz/authentication/

4.https://mritd.com/2018/01/07/kubernetes-tls-bootstrapping-note/

本【ben】文翻译自:https://rhinosecuritylabs.com/cloud-security/kubelet-tls-bootstrap-privilege-escalation/

标签: 技术

作者头像
admin创始人

上一篇:usdt搬砖套利(www.usdt8.vip):央行等六部门团结宣布《关于推动公司信用类债券市场改造开放高质量生长的指导意见》
下一篇:CBA公示广东队员注册信息周鹏胡明轩等主力仍在条约期内

相关推荐

发表评论