반응형
kubernetes 보안 설정 --anonymous-auth=false
취약점 분석
kube-apiserver는 인가된 사용자 뿐만 아니라
anonymous user도 접속이 허용됨.
실제로 확인해보겠음.
[anonymous user로 kube-apiserver 접속 확인]
이와 같이 계정을 명시하지 않은 상태로 kube-apiserver에 접속하게 되면
system:anonymous 라는 계정으로 접속이 허용됨.
실제로 kube-apiserver static pod 설정을 확인해보면
anonymous에 대한 설정이 없음
anonymous-auth에 대한 설정이 없으면
default로 true 처리가 되어 anonymous 계정도 접속이 허가됨.
이런경우 보안적으로 취약점이 발생함.
결론
kube-apiserver에 anonymous user 접근을 차단해야함.
해결책
vi /etc/kubernetes/manifests/kube-apiserver.yaml
파일에
--anonymous-auth=false 설정을 추가함.
몇 초뒤에 api-server가 재기동되고
다시 접속을 확인해보면
이와 같이 Unauthorized 로
anonymous user 접근이 차단됨.
참고
반응형
'클라우드 > Kubernetes' 카테고리의 다른 글
| 102. Kubernetes 보안 설정 node-restriction.kubernetes.io (0) | 2022.05.05 |
|---|---|
| 101. Kubernetes 보안 설정 --insecure-port=0 (0) | 2022.05.05 |
| 99. Kubernetes 보안 설정 automountServiceAccountToken: false (0) | 2022.05.05 |
| 98. kube-bench (0) | 2022.05.01 |
| 97. Container 관련 기술 리서치 (2) | 2022.03.06 |