gitea-mirror/hacktricks-cloud
1
0
Fork 0
mirror of https://github.com/HackTricks-wiki/hacktricks-cloud.git synced 2026-02-05 11:26:11 -08:00
Code Issues Packages Projects Releases Wiki Activity

Translated ['src/pentesting-cloud/aws-security/aws-basic-information/REA

Browse Source
This commit is contained in:
Translator
2025-02-11 17:15:28 +00:00
parent 93de27b1c6
commit c903ef8d13
28 changed files with 161 additions and 150 deletions
Download Patch File Download Diff File Expand all files Collapse all files

8
src/pentesting-cloud/kubernetes-security/kubernetes-hardening/kubernetes-securitycontext-s.md
View File

@@ -4,7 +4,7 @@
## PodSecurityContext <a href="#podsecuritycontext-v1-core" id="podsecuritycontext-v1-core"></a>
[**Da documentação:**](https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core)
[**Dos documentos:**](https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core)
Ao especificar o contexto de segurança de um Pod, você pode usar vários atributos. Do ponto de vista da segurança defensiva, você deve considerar:
@@ -18,7 +18,7 @@ Ao especificar o contexto de segurança de um Pod, você pode usar vários atrib
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>fsGroupChangePolicy</strong></a><br><em>string</em></p> | Isso define o comportamento de **mudança de propriedade e permissão do volume** antes de ser exposto dentro do Pod. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>runAsGroup</strong></a><br><em>inteiro</em></p> | O **GID para executar o ponto de entrada do processo do contêiner**. Usa o padrão de tempo de execução se não definido. Pode também ser definido em SecurityContext. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>runAsNonRoot</strong></a><br><em>booleano</em></p> | Indica que o contêiner deve ser executado como um usuário não-root. Se verdadeiro, o Kubelet validará a imagem em tempo de execução para garantir que não seja executada como UID 0 (root) e falhará ao iniciar o contêiner se o fizer. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>runAsNonRoot</strong></a><br><em>booleano</em></p> | Indica que o contêiner deve ser executado como um usuário não-root. Se verdadeiro, o Kubelet validará a imagem em tempo de execução para garantir que não seja executada como UID 0 (root) e falhará ao iniciar o contêiner se o for. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>runAsUser</strong></a><br><em>inteiro</em></p> | O **UID para executar o ponto de entrada do processo do contêiner**. Padrão para o usuário especificado nos metadados da imagem se não especificado. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>seLinuxOptions</strong></a><br><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#selinuxoptions-v1-core"><em>SELinuxOptions</em></a><br><em>Mais informações sobre</em> <em><strong>seLinux</strong></em></p> | O **contexto SELinux a ser aplicado a todos os contêineres**. Se não especificado, o tempo de execução do contêiner alocará um contexto SELinux aleatório para cada contêiner. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#podsecuritycontext-v1-core"><strong>seccompProfile</strong></a><br><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#seccompprofile-v1-core"><em>SeccompProfile</em></a><br><em>Mais informações sobre</em> <em><strong>Seccomp</strong></em></p> | As **opções seccomp a serem usadas pelos contêineres** neste pod. |
@@ -28,7 +28,7 @@ Ao especificar o contexto de segurança de um Pod, você pode usar vários atrib
## SecurityContext
[**Da documentação:**](https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core)
[**Dos documentos:**](https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core)
Este contexto é definido dentro das **definições de contêineres**. Do ponto de vista da segurança defensiva, você deve considerar:
@@ -49,7 +49,7 @@ Observe que os atributos definidos em **ambos SecurityContext e PodSecurityConte
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>procMount</strong></a><br><em>string</em></p> | procMount denota o **tipo de montagem proc a ser usado para os contêineres**. O padrão é DefaultProcMount, que usa os padrões de tempo de execução do contêiner para caminhos somente leitura e caminhos mascarados. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>readOnlyRootFilesystem</strong></a><br><em>booleano</em></p> | Se este **contêiner tem um sistema de arquivos raiz somente leitura**. O padrão é falso. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>runAsGroup</strong></a><br><em>inteiro</em></p> | O **GID para executar o ponto de entrada** do processo do contêiner. Usa o padrão de tempo de execução se não definido. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>runAsNonRoot</strong></a><br><em>booleano</em></p> | Indica que o contêiner deve **executar como um usuário não-root**. Se verdadeiro, o Kubelet validará a imagem em tempo de execução para garantir que não seja executada como UID 0 (root) e falhará ao iniciar o contêiner se o fizer. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>runAsNonRoot</strong></a><br><em>booleano</em></p> | Indica que o contêiner deve **executar como um usuário não-root**. Se verdadeiro, o Kubelet validará a imagem em tempo de execução para garantir que não seja executada como UID 0 (root) e falhará ao iniciar o contêiner se o for. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>runAsUser</strong></a><br><em>inteiro</em></p> | O **UID para executar o ponto de entrada** do processo do contêiner. Padrão para o usuário especificado nos metadados da imagem se não especificado. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>seLinuxOptions</strong></a><br><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#selinuxoptions-v1-core"><em>SELinuxOptions</em></a><br><em>Mais informações sobre</em> <em><strong>seLinux</strong></em></p> | O **contexto SELinux a ser aplicado ao contêiner**. Se não especificado, o tempo de execução do contêiner alocará um contexto SELinux aleatório para cada contêiner. |
| <p><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#securitycontext-v1-core"><strong>seccompProfile</strong></a><br><a href="https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.23/#seccompprofile-v1-core"><em>SeccompProfile</em></a></p> | As **opções seccomp** a serem usadas por este contêiner. |