Security /var/lib/kubelet/pods下的目录权限
部署部署或守护程序集时,会创建一个随机的0字节文件:Security /var/lib/kubelet/pods下的目录权限,security,kubernetes,kubelet,Security,Kubernetes,Kubelet,部署部署或守护程序集时,会创建一个随机的0字节文件: ls-lart/var/lib/kubelet/pods 0666*容器id*/containers/*容器名称*/*随机文件名* 您能否提供有关此文件的更多信息?我们如何指示kubernetes使用0644或0640创建此文件?有没有我们可以传给库贝莱的旗帜 它在我们的安全扫描中显示为不太安全 这是1.12版 我还没有尝试过任何东西-我刚刚对我的节点进行了安全扫描,正在寻找更多信息以及如何防止出现这种情况 ls-lart/var/lib/
ls-lart/var/lib/kubelet/pods
0666*容器id*/containers/*容器名称*/*随机文件名*
您能否提供有关此文件的更多信息?我们如何指示kubernetes使用0644或0640创建此文件?有没有我们可以传给库贝莱的旗帜
它在我们的安全扫描中显示为不太安全
这是1.12版
我还没有尝试过任何东西-我刚刚对我的节点进行了安全扫描,正在寻找更多信息以及如何防止出现这种情况
ls-lart/var/lib/kubelet/pods
0666*容器id*/containers/*容器名称*/*随机文件名*
我只想通过使用自定义代码或更新来修复此漏洞,或者通过解释为什么必须保持0666来绕过此漏洞。在节点上启动容器之前,kubelet会在主机系统上为该Pod创建一个目录
/var/lib/kubelet/pods/
我不能确切地说这些文件的必要性是什么,因为lsof
没有显示任何内容,但我的假设是它被用作pause容器中装入的卷
k8s_kube-flannel_kube-flannel-ds-pgqq2_kube-system_e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36_6
为该目录设置权限的唯一位置是
希望这会有所帮助在节点上启动容器之前,kubelet会在主机系统上为该Pod创建一个目录/var/lib/kubelet/pods/ 我不能确切地说这些文件的必要性是什么,因为
lsof
没有显示任何内容,但我的假设是它被用作pause容器中装入的卷
k8s_kube-flannel_kube-flannel-ds-pgqq2_kube-system_e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36_6
为该目录设置权限的唯一位置是
希望这将有助于我的docker inspect调查 文件夹
/var/lib/kubelet/pods/
用于从中绑定一些文件夹
在某些容器中托管文件系统。
更具体地说,在属于静态吊舱的容器内
假设我们有一个豆荚
coredns-f9fd979d6-6h9dc
然后我们有相应的docker容器
k8s_kube-flannel_kube-flannel-ds-pgqq2_kube-system_e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36_6
如果我们让码头工人检查集装箱,我们会看到
"HostConfig": {
"Binds": [
"/run/flannel:/run/flannel",
"/var/lib/kubelet/pods/e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36/volumes/kubernetes.io~configmap/flannel-cfg:/etc/kube-flannel/:ro",
"/var/lib/kubelet/pods/e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36/volumes/kubernetes.io~secret/flannel-token-2vbzc:/var/run/secrets/kubernetes.io/serviceaccount:ro",
从我的码头工人开始检查调查 文件夹
/var/lib/kubelet/pods/
用于从中绑定一些文件夹
在某些容器中托管文件系统。
更具体地说,在属于静态吊舱的容器内
假设我们有一个豆荚
coredns-f9fd979d6-6h9dc
然后我们有相应的docker容器
k8s_kube-flannel_kube-flannel-ds-pgqq2_kube-system_e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36_6
如果我们让码头工人检查集装箱,我们会看到
"HostConfig": {
"Binds": [
"/run/flannel:/run/flannel",
"/var/lib/kubelet/pods/e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36/volumes/kubernetes.io~configmap/flannel-cfg:/etc/kube-flannel/:ro",
"/var/lib/kubelet/pods/e3c9e9dc-058a-4871-ae1c-2aa5b9a7fa36/volumes/kubernetes.io~secret/flannel-token-2vbzc:/var/run/secrets/kubernetes.io/serviceaccount:ro",