1.6 KiB
OpenShift - Ontbrekende Diensrekening
Ontbrekende Diensrekening
Dit gebeur dat 'n kluster ontplooi word met 'n voorafgeconfigureerde sjabloon wat outomaties Rolle, Rolbindings en selfs SCC aan 'n diensrekening toewys wat nog nie geskep is nie. Dit kan lei tot privilige-eskalasie in die geval waar jy hulle kan skep. In hierdie geval sal jy in staat wees om die token van die nuut geskepte SA en die rol of SCC wat daarmee geassosieer is, te verkry. Dieselfde geval gebeur wanneer die ontbrekende SA deel is van 'n ontbrekende projek; in hierdie geval, as jy die projek kan skep en dan die SA, kry jy die Rolle en SCC wat geassosieer is.
In die vorige grafiek het ons verskeie AbsentProjecte gekry wat beteken dat verskeie projekte in Rolle Bindings of SCC verskyn, maar nog nie in die kluster geskep is nie. In dieselfde geestelike het ons ook 'n AbsentServiceAccount gekry.
As ons 'n projek en die ontbrekende SA daarin kan skep, sal die SA geërf word van die Rol of die SCC wat die AbsentServiceAccount geteiken het. Dit kan lei tot privilige-eskalasie.
Die volgende voorbeeld toon 'n ontbrekende SA wat node-exporter SCC toegeken word:
Gereedskap
Die volgende gereedskap kan gebruik word om hierdie probleem te evalueer en meer algemeen om 'n OpenShift-kluster te grafiek:
{{#ref}} https://github.com/maxDcb/OpenShiftGrapher {{#endref}}