네임스페이스에서 권한 있는 포드 생성을 방지하는 PSP를 생성합니다.
$ cat clusterrole-use-privileged.yaml
---
API 버전: rbac.authorization.k8s.io/v1
종류: ClusterRole
메타데이터:
이름: use-privileged-psp
규칙:
- apiGroups: ['정책']
리소스: ['podsecuritypolicies']
동사: ['사용']
리소스 이름:
- 기본 PSP
---
API 버전: rbac.authorization.k8s.io/v1
종류: 역할 바인딩
메타데이터:
이름: 권한 있는 역할 바인딩
네임스페이스: psp-test
역할 참조:
API 그룹: rbac.authorization.k8s.io
종류: ClusterRole
이름: use-privileged-psp
과목:
- 종류: 서비스 계정
이름: Privileged-sa
$ kubectl -n psp-test 적용 -f clusterrole-use-privileged.yaml
잠시 후 권한 있는 Pod가 생성되어야 합니다.
권한 있는 포드 생성을 방지하는 prevent-privileged-policy라는 새 PodSecurityPolicy를 생성합니다.
apiVersion: 정책/v1beta1
종류: PodSecurityPolicy
메타데이터:
이름: 예
투기:
특권: false # 특권 파드를 허용하지 않습니다!
# 나머지는 일부 필수 필드를 채웁니다.
세리눅스:
규칙: RunAsAny
보조 그룹:
규칙: RunAsAny
실행 사용자:
규칙: RunAsAny
fs그룹:
규칙: RunAsAny
볼륨:
- '*'
그리고 kubectl로 생성합니다:
kubectl-admin create -f example-psp.yaml
이제 권한이 없는 사용자로 간단한 포드를 생성해 봅니다.
kubectl-user create -f- <<EOF
API 버전: v1
종류: 포드
메타데이터:
이름: 일시 중지
투기:
컨테이너:
- 이름: 일시 중지
이미지: k8s.gcr.io/pause
EOF
출력은 다음과 유사합니다.
서버 오류(금지됨): "STDIN" 생성 시 오류: 포드 "일시 중지"가 금지됨: 포드 보안 정책에 대해 유효성을 검사할 수 없음: [] 네임스페이스 기본값에 psp-sa라는 새 ServiceAccount를 생성합니다.
$ cat clusterrole-use-privileged.yaml
---
API 버전: rbac.authorization.k8s.io/v1
종류: ClusterRole
메타데이터:
이름: use-privileged-psp
규칙:
- apiGroups: ['정책']
리소스: ['podsecuritypolicies']
동사: ['사용']
리소스 이름:
- 기본 PSP
---
API 버전: rbac.authorization.k8s.io/v1
종류: 역할 바인딩
메타데이터:
이름: 권한 있는 역할 바인딩
네임스페이스: psp-test
역할 참조:
API 그룹: rbac.authorization.k8s.io
종류: ClusterRole
이름: use-privileged-psp
과목:
- 종류: 서비스 계정
이름: Privileged-sa
$ kubectl -n psp-test 적용 -f clusterrole-use-privileged.yaml
잠시 후 권한 있는 Pod가 생성되어야 합니다.
새로 생성된 포드 보안 정책 prevent-privileged-policy를 사용하는 prevent-role이라는 새 ClusterRole을 생성합니다.
apiVersion: 정책/v1beta1
종류: PodSecurityPolicy
메타데이터:
이름: 예
투기:
특권: false # 특권 파드를 허용하지 않습니다!
# 나머지는 일부 필수 필드를 채웁니다.
세리눅스:
규칙: RunAsAny
보조 그룹:
규칙: RunAsAny
실행 사용자:
규칙: RunAsAny
fs그룹:
규칙: RunAsAny
볼륨:
- '*'
그리고 kubectl로 생성합니다:
kubectl-admin create -f example-psp.yaml
이제 권한이 없는 사용자로 간단한 포드를 생성해 봅니다.
kubectl-user create -f- <<EOF
API 버전: v1
종류: 포드
메타데이터:
이름: 일시 중지
투기:
컨테이너:
- 이름: 일시 중지
이미지: k8s.gcr.io/pause
EOF
출력은 다음과 유사합니다.
서버 오류(금지됨): "STDIN" 생성 시 오류: 파드 "일시 중지"가 금지됨: 파드 보안 정책에 대해 유효성을 검사할 수 없음: [] 생성된 ClusterRole 방지를 바인딩하는 prevent-role-binding이라는 이름의 새 ClusterRoleBinding 생성 생성된 SA psp-sa에 대한 역할.
API 버전: rbac.authorization.k8s.io/v1
# 이 역할 바인딩을 통해 "jane"은 "default" 네임스페이스의 포드를 읽을 수 있습니다.
# 해당 네임스페이스에 "pod-reader"라는 역할이 이미 있어야 합니다.
종류: 역할 바인딩
메타데이터:
이름: 읽기 포드
네임스페이스: 기본값
과목:
# 하나 이상의 "주제"를 지정할 수 있습니다.
- 종류: 사용자
name: jane # "이름"은 대소문자를 구분합니다.
API 그룹: rbac.authorization.k8s.io
역할 참조:
# "roleRef"는 Role / ClusterRole에 대한 바인딩을 지정합니다.
종류: 역할 #이것은 Role 또는 ClusterRole이어야 합니다.
name: pod-reader # apiGroup에 바인딩하려는 역할 또는 ClusterRole의 이름과 일치해야 합니다. rbac.authorization.k8s.io apiVersion: rbac.authorization.k8s.io/v1 종류: 역할 메타데이터:
네임스페이스: 기본값
이름: 포드 리더
규칙:
- apiGroups: [""] # ""는 핵심 API 그룹을 나타냅니다.
리소스: ["포드"]
동사: ["get", "watch", "list"]

se kubectl을 사용하여 CSR을 만들고 승인합니다.
CSR 목록 가져오기:
kubectl은 CSR을 얻습니다.
CSR 승인:
kubectl 인증서 승인 myuser
인증서 받기
CSR에서 인증서를 검색합니다.
kubectl get csr/myuser -o yaml
다음은 john에게 NEW_CRD 리소스를 생성할 수 있는 권한을 부여하는 역할 및 역할 바인딩입니다.
kubectl apply -f roleBindingJohn.yaml --as=john
rolebinding.rbac.authorization.k8s.io/john_external-rosource-rb 생성 종류: RoleBinding apiVersion: rbac.authorization.k8s.io/v1 메타데이터:
이름: john_crd
네임스페이스: Development-John
과목:
- 종류: 사용자
이름: 존
API 그룹: rbac.authorization.k8s.io
역할 참조:
종류: ClusterRole
이름: crd 생성
종류: ClusterRole
API 버전: rbac.authorization.k8s.io/v1
메타데이터:
이름: crd 생성
규칙:
- API그룹: ["kubernetes-client.io/v1"]
자원: ["NEW_CRD"]
동사: ["만들기, 나열, 가져오기"]

2. k8s.gcr.io/kube-controller-manager:v1.18.6
심각도가 HIGH 또는 CRITICAL인 이미지를 찾고 동일한 결과를 /opt/trivy-vulnerable.txt에 저장합니다.