Есть ли какие-либо проблемы с безопасностью, когда я открываю возможности chown или dac_override в kubernetes?

Question

Как администратор кластера Kubernetes, меня попросили включить возможности chown , dac_override и * fowner Linux в кластере SHARED Kubernetes для некоторых специальных Модули.

Но я обнаружил, что ужасно открывать эти возможности в контейнере: https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick

Я хотел бы знать, могут ли Модули использовать ТОЛЬКО эти возможности на файлы / папки в Pod? Или они могут также использовать их в файлах / папках хоста для взлома чего-либо?

Я также открываю разрешение RunAs Root, но отключаю разрешение Privileged.

Поэтому я хотел бы знать, если есть какие-то проблемы с безопасностью, чтобы включить эти возможности в кластере Kube?

Или есть ли какой-то способ просто позволить некоторым специальным модулям иметь эти возможности?

Большое спасибо!

Answer 1

Пока вы доверяете контроллерам k8s (Deployment, StatefulSet, DaemonSet) этих модулей - у вас все в порядке с дополнительными возможностями, связанными с файловой системой. По умолчанию модули не могут записывать в файловую систему хоста. И у вас не должно быть hostPath томов в контроллерах ваших специальных модулей, чтобы исключить запись файловой системы хоста из этих модулей.