Есть ли риск для совместных модулей, если мы разрешим привилегию пользователя root для процесса в одном модуле?

Question

Я использую docker для контейнеров в kubernetes.

Я читаю Docker Container изолирует пространство пользователя, но разделяет пространство ядра. Если это правда, у меня возникают следующие сомнения

1) Может ли процесс в модуле получить доступ к пространству ядра и повлиять на другие модули? Если да, как это возможно и как мы можем решить эту проблему?

2) Есть ли риск, что процесс будет разрешен внутри модуля с доступом с правами root?

Answer 1

Да, существуют уязвимости, которые могут привести к тому, что хакеры проникнут даже в ваши узлы kubernetes. Однако существуют защитные барьеры, которые защищают вас еще до того, как вы сможете добраться до капсулы. Это: ваш cloud providers' credentials для доступа к вашему пулу k8s и firewall-rules. Если вы тщательно их настраиваете, кому-то будет очень трудно войти.

Что касается безопасности в самом kubernetes, проверьте этот документ , он говорит вам, как защитить пространство ядра. Кроме того, вы можете определить контексты безопасности для пользователей в ваших модулях.