Helm minangka manajer paket kanggo Kubernetes, kaya apt-get
kanggo Ubuntu. Ing cathetan iki kita bakal weruh versi sadurungé saka helm (v2) karo layanan tiller diinstal minangka standar, liwat kang kita bakal ngakses kluster.
Ayo nyiyapake kluster; kanggo nindakake iki, jalanake printah:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Demonstrasi
- Yen sampeyan ora ngatur apa-apa tambahan, Helm v2 miwiti layanan tiller, kang wis RBAC karo hak administrator cluster lengkap.
- Sawise instalasi ing namespace
kube-system
katontiller-deploy
, lan uga mbukak port 44134, bound kanggo 0.0.0.0. Iki bisa dipriksa nganggo telnet.
$ telnet tiller-deploy.kube-system 44134
- Saiki sampeyan bisa nyambung menyang layanan tiller. Kita bakal nggunakake binar helm kanggo nindakake operasi nalika sesambungan karo layanan tiller:
$ helm --host tiller-deploy.kube-system:44134 version
- Coba goleki rahasia kluster Kubernetes saka namespace
kube-system
:
$ kubectl get secrets -n kube-system
- Saiki kita bisa nggawe grafik dhewe, ing ngendi kita bakal nggawe peran kanthi hak administrator lan nemtokake peran iki menyang akun layanan standar. Nggunakake token saka akun layanan iki, kita nampa akses lengkap menyang kluster.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Saiki kapan
pwnchart
disebarake, akun layanan standar nduweni akses administratif lengkap. Ayo dipriksa maneh carane entuk rahasia sakakube-system
kubectl get secrets -n kube-system
Kasuksesan eksekusi skrip iki gumantung carane tiller disebarake; kadhangkala pangurus nyebarake ing ruang jeneng sing kapisah kanthi hak istimewa sing beda. Helm 3 ora rentan kanggo kerentanan kasebut amarga ... ing kono ora ana sing ngolah.
Cathetan penerjemah: Nggunakake kabijakan jaringan kanggo nyaring lalu lintas ing kluster mbantu nglindhungi saka jinis kerentanan iki.
Source: www.habr.com