@The3fon

Объяснение настройки SCC в OpenShift?

Добрый день, прошу помочь в объяснении сути SCC для OpenShift. Если для всех инструкций SCC описание в доках понятное, то как настраиваются политики SeLinux и SecComp с помощью SCC я так и не вкурил.
Если с настройкой Capabilities всё понятно, есть инструкции для добавления или удаления Capabilities для Pod, также в руководстве есть список стандартных Caps, которые импортируются в контейнер и список всех Caps которые поддерживаются, то для SeLinux присутствует инструкция:

seLinuxContext:
  type: RunAsAny
или MustRunAs

Как это интерпретировать и настраивать?

Для SecComp тоже самое, я не нашел примера yaml файла где указывался настроенный профиль с запретом или разрешением тех или иных системных вызовов. Как это настраивается?
  • Вопрос задан
  • 72 просмотра
Пригласить эксперта
Ответы на вопрос 1
saboteur_kiev
@saboteur_kiev Куратор тега Информационная безопасность
software engineer
Это относится от имени какого юзера запускаются поды. Может быть четыре варианта

MustRunAs, при этом все контейнеры должны быть настроены для запуска как сконфигурированный юзер в runAsUser

MustRunAsRange - в контейнерах можно использовать юзеров с UID в указанном диапазоне. Если юзер не указан, автоматически берется первый UID из диапазона, полезно для разграничения прав доступа, например, между проектами (неймспейсами)

MustRunAsNonRoot - можно использовать любых юзеров, кроме рута (uid 0)

RunAsAny - можно запускать контейнеры от имени любого юзера

А вообще, тут подробнее:
https://docs.openshift.com/container-platform/4.1/...
Ответ написан
Комментировать
Ваш ответ на вопрос

Войдите, чтобы написать ответ

Войти через центр авторизации
Похожие вопросы