🥇Helm v2 Tiller를 사용하여 Kubernetes 클러스터 중단

Helm은 Kubernetes용 패키지 관리자입니다. apt-get 우분투의 경우. 이 노트에서는 기본적으로 Tiller 서비스가 설치된 이전 버전의 helm(v2)을 살펴보고 이를 통해 클러스터에 액세스합니다.

클러스터를 준비하겠습니다. 이를 위해 다음 명령을 실행합니다.

kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash

데모

추가로 구성하지 않은 경우 helm v2는 전체 클러스터 관리자 권한이 있는 RBAC가 있는 Tiller 서비스를 시작합니다.
네임스페이스에 설치 후 kube-system 등장하다 tiller-deploy, 또한 44134에 바인딩된 포트 0.0.0.0를 엽니다. 텔넷을 이용하여 확인할 수 있습니다.

$ telnet tiller-deploy.kube-system 44134

$ helm --host tiller-deploy.kube-system:44134 version

$ kubectl get secrets -n kube-system

이제 관리자 권한이 있는 역할을 만들고 이 역할을 기본 서비스 계정에 할당하는 자체 차트를 만들 수 있습니다. 이 서비스 계정의 토큰을 사용하여 클러스터에 대한 전체 액세스 권한을 받았습니다.

$ helm --host tiller-deploy.kube-system:44134 install /pwnchart

지금 언제 pwnchart 배포된 경우 기본 서비스 계정은 전체 관리 액세스 권한을 갖습니다. 비밀 정보를 얻는 방법을 다시 확인해 보겠습니다. kube-system

kubectl get secrets -n kube-system

이 스크립트의 성공적인 실행은 Tiller가 어떻게 배포되었는지에 따라 달라집니다. 때로는 관리자가 이를 다른 권한을 가진 별도의 네임스페이스에 배포합니다. Helm 3은 이러한 취약점에 취약하지 않습니다. 왜냐하면... 거기에는 경운기가 없습니다.

번역가의 주 : 네트워크 정책을 사용하여 클러스터의 트래픽을 필터링하면 이러한 유형의 취약점으로부터 보호하는 데 도움이 됩니다.

출처 : habr.com