Kubernetes 보안 설정 --anonymous-auth=false

 

kubernetes 보안 설정 --anonymous-auth=false

 

취약점 분석

kube-apiserver는 인가된 사용자 뿐만 아니라

anonymous user도 접속이 허용됨.

실제로 확인해보겠음.

 

[anonymous user로 kube-apiserver 접속 확인]

 

이와 같이 계정을 명시하지 않은 상태로 kube-apiserver에 접속하게 되면

system:anonymous 라는 계정으로 접속이 허용됨.

 

실제로 kube-apiserver static pod 설정을 확인해보면

anonymous에 대한 설정이 없음

anonymous-auth에 대한 설정이 없으면

default로 true 처리가 되어 anonymous 계정도 접속이 허가됨.

 

이런경우 보안적으로 취약점이 발생함.

 

 

 

결론

kube-apiserver에 anonymous user 접근을 차단해야함.

 

 

해결책

 

vi /etc/kubernetes/manifests/kube-apiserver.yaml

파일에 

--anonymous-auth=false 설정을 추가함.

 

몇 초뒤에 api-server가 재기동되고 

다시 접속을 확인해보면

이와 같이 Unauthorized 로 

anonymous user 접근이 차단됨.

 

 

 

---

참고

https://kubernetes.io/docs/reference/access-authn-authz/authentication/#anonymous-requests