2.4 KiB
OpenShift - Відсутній обліковий запис служби
Відсутній обліковий запис служби
Буває, що кластер розгортається з попередньо налаштованим шаблоном, який автоматично налаштовує Ролі, Прив'язки ролей та навіть SCC для облікового запису служби, який ще не створено. Це може призвести до ескалації привілеїв у випадку, якщо ви можете їх створити. У цьому випадку ви зможете отримати токен новоствореного SA та роль або SCC, що асоціюється. Така ж ситуація виникає, коли відсутній SA є частиною відсутнього проєкту; у цьому випадку, якщо ви можете створити проєкт, а потім SA, ви отримаєте Ролі та SCC, що асоціюються.
На попередньому графіку ми отримали кілька AbsentProject, що означає кілька проєктів, які з'являються в Прив'язках ролей або SCC, але ще не створені в кластері. У такому ж дусі ми також отримали AbsentServiceAccount.
Якщо ми можемо створити проєкт і відсутній SA в ньому, SA успадкує Роль або SCC, які націлювалися на AbsentServiceAccount. Це може призвести до ескалації привілеїв.
Наступний приклад показує відсутній SA, якому надано SCC node-exporter:
Інструменти
Наступний інструмент можна використовувати для перерахунку цієї проблеми та, більш загалом, для графічного зображення кластера OpenShift:
{{#ref}} https://github.com/maxDcb/OpenShiftGrapher {{#endref}}