반응형
kubernetes 보안 설정 --anonymous-auth=false
취약점 분석
kube-apiserver는 인가된 사용자 뿐만 아니라
anonymous user도 접속이 허용됨.
실제로 확인해보겠음.
[anonymous user로 kube-apiserver 접속 확인]
이와 같이 계정을 명시하지 않은 상태로 kube-apiserver에 접속하게 되면
system:anonymous 라는 계정으로 접속이 허용됨.
실제로 kube-apiserver static pod 설정을 확인해보면
anonymous에 대한 설정이 없음
anonymous-auth에 대한 설정이 없으면
default로 true 처리가 되어 anonymous 계정도 접속이 허가됨.
이런경우 보안적으로 취약점이 발생함.
결론
kube-apiserver에 anonymous user 접근을 차단해야함.
해결책
vi /etc/kubernetes/manifests/kube-apiserver.yaml
파일에
--anonymous-auth=false 설정을 추가함.
몇 초뒤에 api-server가 재기동되고
다시 접속을 확인해보면
이와 같이 Unauthorized 로
anonymous user 접근이 차단됨.
참고
반응형
'Kubernetes > Kubernetes 보안' 카테고리의 다른 글
| Kubernetes 보안 설정 node-restriction.kubernetes.io (0) | 2022.05.05 |
|---|---|
| Kubernetes 보안 설정 --insecure-port=0 (0) | 2022.05.05 |
| Kubernetes 보안 설정 automountServiceAccountToken: false (0) | 2022.05.05 |
| kube-bench (0) | 2022.05.01 |
| Portieris (v0.12.2) (0) | 2022.02.23 |