CSI侧卡的最低特权

Question

我正在用CSI标准构建我自己的CSI驱动程序，我想知道要为CSI侧加容器设置的安全上下文。

我要用：

• 节点驱动程序注册器
• CSI供给器
• CSI攻击者
• CSI活性探针

其中一些需要作为root运行，我想知道在Security中的配置，以便为它们分配最小的Linux功能，并确保在最短的时间内提供根功能。

是否被迫按以下方式设置安全上下文？是否有任何方法进一步限制它？

securityContext:
  allowPrivilegeEscalation: true
  privileged: false
  runAsNonRoot: true
  capabilities:
    drop:
    - all
    add:
    - SYS_ADMIN

事先谢谢你，安东尼奥

Answer 1

基于对kubernetes和linux功能的研究，看起来您已经找到了最少的特权。

您的示例包含了最低需要的功能- CAP_SYS_ADMIN，它主要用于mounting和unmounting文件系统。

在更多细节中，CAP_SYS_ADMIN用于：

• 执行一系列系统管理操作，包括:引号(2)、挂载(2)、umount(2)、pivot_root(2)、swapon(2)、swapoff(2)、sethostname(2)和setdomainname(2)；
• 使用ioprio_set(2)分配IOPRIO_CLASS_RT和(Linux2.6.25之前的) IOPRIO_CLASS_IDLE I/O调度类；
• 超过/proc/sys/fs/file-max，系统范围内对打开文件数量的限制，在系统调用打开的文件(例如，接受(2)，execve(2)，打开(2)，管道(2))；
• 调用集(2)(需要目标命名空间中的CAP_SYS_ADMIN )；
• 使用TIOCSTI ioctl(2)将字符插入到呼叫方控制终端以外的终端的输入队列中；
• 使用过时的nfsservctl(2)系统调用；
• 使用过时的bdflush(2)系统调用；
• 执行各种特权块设备ioctl(2)操作；
• 执行各种特权文件系统ioctl(2)操作；
• 在/dev/随机设备上执行特权ioctl(2)操作(参见随机(4))；
• 对许多设备驱动程序执行管理操作；

源- 功能(7)- Linux手册页

还有一篇很好的文章，其中包含了许多关于码头映像和安全方面的细节，可以在这里找到- 面向非特权容器构建。

还有一篇文章解释了linux capabilities及其应用，并举例说明了HackTricks - Linux功能。