Helm është një menaxher paketash për Kubernetes, diçka e tillë apt-get
për Ubuntu. Në këtë shënim do të shohim versionin e mëparshëm të helmit (v2) me shërbimin Tiller të instaluar si parazgjedhje, përmes të cilit do të aksesojmë grupin.
Le të përgatisim grupin; për ta bërë këtë, ekzekutoni komandën:
kubectl run --rm --restart=Never -it --image=madhuakula/k8s-goat-helm-tiller -- bash
Demonstrim
- Nëse nuk konfiguroni asgjë shtesë, helm v2 fillon shërbimin e punës, i cili ka RBAC me të drejta të plota të administratorit të grupit.
- Pas instalimit në hapësirën e emrave
kube-system
dukettiller-deploy
, dhe gjithashtu hap portin 44134, i lidhur me 0.0.0.0. Kjo mund të kontrollohet duke përdorur telnet.
$ telnet tiller-deploy.kube-system 44134
- Tani mund të lidheni me shërbimin e punimit. Ne do të përdorim binarin e timonit për të kryer operacione kur komunikojmë me shërbimin e mbajtësit:
$ helm --host tiller-deploy.kube-system:44134 version
- Le të përpiqemi të marrim sekretet e grupit Kubernetes nga hapësira e emrave
kube-system
:
$ kubectl get secrets -n kube-system
- Tani mund të krijojmë grafikun tonë, në të cilin do të krijojmë një rol me të drejta administratori dhe do t'ia caktojmë këtë rol llogarisë së shërbimit të paracaktuar. Duke përdorur kodin nga kjo llogari shërbimi, ne morëm akses të plotë në grupin tonë.
$ helm --host tiller-deploy.kube-system:44134 install /pwnchart
- Tani kur
pwnchart
e vendosur, llogaria e parazgjedhur e shërbimit ka akses të plotë administrativ. Le të kontrollojmë përsëri se si të marrim sekrete ngakube-system
kubectl get secrets -n kube-system
Ekzekutimi i suksesshëm i këtij skripti varet nga mënyra se si është vendosur tiller; nganjëherë administratorët e vendosin atë në një hapësirë emri të veçantë me privilegje të ndryshme. Helm 3 nuk është i ndjeshëm ndaj dobësive të tilla sepse... nuk ka bujqësi në të.
Shënim i përkthyesit: Përdorimi i politikave të rrjetit për të filtruar trafikun në një grup ndihmon në mbrojtjen kundër këtij lloj dobësie.
Burimi: www.habr.com