OpenShift -列出具有特权scc的服务帐户

OpenShift是一种基于Kubernetes的开源容器应用平台，由Red Hat公司开发和维护。它提供了一套完整的工具和功能，用于简化容器化应用程序的构建、部署和管理。

特权scc（Security Context Constraints）是OpenShift中的一种安全机制，用于限制容器中的服务账户对主机资源的访问权限。具有特权scc的服务账户可以在容器内部执行特权操作，如修改主机文件系统、访问主机设备等。这种机制可以有效地隔离容器的权限，提高系统的安全性。

以下是一些具有特权scc的服务账户的示例：

system:admin：这是OpenShift中的超级管理员账户，具有最高权限，可以管理整个集群。
system:controller:manager：这是OpenShift中的控制器管理账户，用于管理集群中的控制器组件。
system:node：这是OpenShift中的节点账户，用于管理集群中的节点。
default：这是OpenShift中的默认服务账户，用于管理默认的命名空间。
builder：这是OpenShift中的构建账户，用于构建和打包容器镜像。
deployer：这是OpenShift中的部署账户，用于部署和管理应用程序。

对于具有特权scc的服务账户，建议在使用时要谨慎操作，确保只有必要的操作才被执行，以避免潜在的安全风险。

在腾讯云的产品中，可以使用TKE（腾讯云容器服务）来部署和管理OpenShift集群。TKE提供了一套完整的容器化解决方案，包括集群管理、应用部署、监控告警等功能，可以帮助用户快速搭建和运维OpenShift环境。

更多关于TKE的信息，请访问腾讯云官方网站：TKE产品介绍

相关·内容

005.OpenShift访问控制-权限-角色

]$ oc adm policy add-scc-to-user anyuid -z useroot #将useroot服务帐户添加到anyuid SCC中，作为容器中的根用户运行 4.2 Web管理...要使用特权访问运行容器，可创建一个允许pod使用操作系统普通用户运行的service account。如下部分需要具有项目管理员特权的用户执行，而另一些操作需要具有集群管理员特权的用户执行。...要将容器更改为使用不同的SCC运行，需要创建绑定到pod的服务帐户。...#将服务帐户与SCC关联要确定哪个帐户可以创建需要更高安全性要求的pod，可以使用scc-subject-review子命令。...通过创建具有特权访问权的服务帐户，可以使用SCCs启用特权容器的访问。十资源访问控制综合实验 10.1 前置准备准备完整的OpenShift集群，参考《003.OpenShift网络》2.1。

3.4K2 0

身份验证和权限管理---Openshift3.9学习系列第三篇

OpenShift中的用户：可以向OpenShift API发出请求通常表示与OpenShift交互的开发人员或管理员的帐户 Openshift的组由多个用户组成，用于管理授权策略以一次向多个用户授予权限...OAuth： OpenShift Master节点包含内置OAuth服务器用户获取OAuth访问令牌以对API进行身份验证当用户请求OAuth令牌时，OAuth服务器使用配置的身份提供程序来确定请求者的身份...四、安全上下文约束 Openshift的scc有两类：Privileged SCC和 Restricted SCC。...允许来自paymentapp-prod和paymentapp-test的服务帐户提取在paymentapp-dev项目中创建的image。...anyuid SCC可以允许运行特权容器。在此步骤中，修改SCC允许paymentapp-prod项目中的sa运行与root用户一起运行的映像/容器。

2K6 0

K8s Pod 安全认知:从OpenShift SCC 到K8s PSP 弃用以及现在的 PSA

SCC)， SCC 出现在 Red Hat OpenShift 容器平台的第一个版本中，甚至在 Kubernetes 1.0 之前。...SCC 熟悉 openshift 的小伙伴，或者参加过红帽 DO280 考试的小伙伴的，对 SCC 一定不陌生，SCC 即 SecurityContextConstraints(容器安全上下文) ,是...利用 SCC ，管理员能对Pod做如下的一些约束：运行特权容器 (privileged container) 为容器增加能力 (capahiliticg) 用主机上的目录作为卷容器的 SELinux...) 查看当前命名空间下的所以的 SSC , OpenShift 有七个 SCC 级别 [root@master student]# oc get scc NAME PRIV...Pod 的服务帐户对 PSP 执行 use 操作，则用户可以创建一个 Pod。

3512 0

如何在 OpenShift 中运行 Collabora Office

可以在自己的服务器上安装套件可以和其他应用（如：nextcloud owncloud等）或你自己的应用进行整合 i18n级别的兼容性协同编辑可以完美融入进自己的解决方案分析 - 需要哪些特权 Collabora.../usr/bin/killall 启动loolwsd 又是一个特权操作: su -c 初步总结需要的特权: root 用户 inotifywait killall su -c 解决方案在 OpenShift...对于这类镜像, 需要给其对应的service account(服务账户, 一种特殊账户, 用于系统执行某些操作)加上anyuid SCC(Security Context Constraints: 安全上下文约束...总结在OpenShift中: 容器需要root用户, 给它对应的deployment添加Service Account, 并添加anyuid的SCC....容器需要其他capabilities, 简单的方式就是给它"privileged" 这个特权最后顺便吐槽一下, SCC和linux capabilities实在是太难了, 对安全一知半解的我一脸懵逼.

1.2K3 0

将Coolstore微服务引入服务网格：第1部分 - 探索自动注入

在红帽，我们致力于（并积极参与）上游Istio项目（服务网格概念的最新实现项目），并努力将其集成到Kubernetes（一个开源的容器集群管理系统）和Red Hat OpenShift（红帽公司的云计算服务平台...如果你想参与Istio，请参阅learn.Openshift.com上的服务网格教程。...Istio项目意识到关于它需要太多特权的抱怨，并且正在努力应用最小特权原则： % oc adm policy add-scc-to-user anyuid -z istio-sidecar-injector-service-account...赋予代理容器权限，让它们发挥神奇的作用，并与有特权的用户一起运行，以便我们以后可以进入： % oc new-project coolstore-test % oc adm policy add-scc-to-user...需要更详细的机制来指定哪些窗格被自动注入。目前，它是在具有标签的项目（Kubernetes命名空间）级别完成的，这意味着在命名空间中创建的每一个窗格将会注入一个代理。

1.6K5 0

Openshift容器云安全加固措施70项

四、容器镜像和Build File 1.为容器创建独立的账户 OpenShift默认使用分配的用户标识运行容器，并且还利用由defailt配置的OpenShift安全上下文（scc）来阻止特权容器。...这也可用于在修补映像并将这些更新部署到正在运行的容器中，而这个过程是自动完成的。五、容器运行时 1.不要使用特权容器 Openshift中，特权容器只能在Master或Infra节点上运行。...13.不要使用特权选项执行docker exec命令 OpenShift利用SELinux和docker配置，禁止使用docker特权。SCC默认不会开放这个权限。...14.限制容器获取额外的权限 Openshift通过scc实现。...4.使用多租户为Pod和服务提供项目级别/网络隔离 https://docs.openshift.com/container-platform/3.6/architecture/additional_concepts

1.6K7 0

PodSecurityPolicy：历史背景

PodSecurityPolicy 的诞生 PodSecurityPolicy 源自 OpenShift 的 SecurityContextConstraints (SCC)，它出现在 Red Hat...PSP 是 SCC 的精简版。...这是一个长达 9 个月的漫长讨论，基于 OpenShift 的 SCC 反复讨论，多次变动，并重命名为 PodSecurityPolicy，最终在 2016 年 2 月进入上游 Kubernetes...准许该 Pod 或者该 Pod 的服务帐户对 PSP 执行 use 操作，则用户可以创建一个 Pod。...PodSecurityPolicy 的经验得出的结论是，大多数用户关心两个或三个策略，这导致了Pod 安全标准[14]的创建，它定义了三个策略： Privileged（特权的） - 策略不受限制。

5073 0

在K8SOpenShift上开发应用程序的14种最佳实践

它允许群集重新启动您的应用程序（liveness 探测失败），或者避免在未准备好服务请求的情况下将流量路由到您的应用程序（readiness 探测）。...使用单独的构建镜像和运行时镜像 (译者注: docker的多阶段构建功能) 创建具有最小依赖性的单独的运行时镜像可减少攻击面并产生较小的运行时镜像。...) (译者注: 应该是OpenShift特有的安全加固功能) 修改您的容器镜像以允许在受限的SCC(security context constraint简写)下运行。...强制使用OpenShift受限制的SCC可提供最高级别的安全性，以防止在应用程序被破坏的情况下损害集群节点。使用TLS保护应用程序组件之间的通信。应用程序组件可能会传达应受到保护的敏感数据。...该博客中列出的实践列表是一个良好的开端。如果您想了解更多信息，可以在OpenShift文档的创建镜像部分中找到另一套很好的建议。

8861 0

openshiftorigin工作记录（12）——Openshift3.11安装Istio

+Centos7.5+Istio1.0.5 下载 Istio 发布包 Istio 会被安装到自己的 istio-system 命名空间，并且能够对所有其他命名空间的服务进行管理。...istioctl 的功能是手工进行 Envoy Sidecar 的注入，以及对路由规则、策略的管理 istio.VERSION 配置文件 istioctl 客户端加入 PATH 环境变量在/etc/profile...，必须满足以下先决条件：最低版本：3.9.0 oc 配置为可以访问集群用户已登录到集群用户在 OpenShift 上具有 cluster-admin 角色缺省情况下，OpenShift 不允许容器使用...下面的命令让 Istio 的 Service account 可以使用 UID 0 来运行容器： $ oc adm policy add-scc-to-user anyuid -z istio-ingress-service-account...在 OpenShift 上部署默认配置的 Istio： # ansible-playbook main.yml ? 确认安装确保所有相应的pod都已被部署且所有的容器都已启动并正在运行： ?

7233 0

理解OpenShift（4）：用户及权限管理

因为这部分主要和OpenShift自身系统相关，与一般用户关系不太大，因此本文不会具体介绍这部分。 Service account：服务账户。...对于操作系统资源，这只针对服务账户。宿主机上的用户访问宿主机上的资源，这由宿主机操作系统进行控制。...OpenShift scc 将系统权限分为几大类，具体见上图中的『权限』部分，然后可以创建 scc 对象来精细地控制对每种权限的控制。...正是因为这非常繁琐，因此 OpenShift 默认创建了几个典型的 scc，列表如下。上图中的『系统预定义scc』部分有简要说明，这里不再重复。 ? 每个 scc 有其用户/用户组列表。...比如因为 registry 和 router 服务的 pod 需要使用 host networkinig 网络模式，因此有为它们创建单独的 sa user 并且加入到了 hostnetwork scc

2.2K1 0

openshift scc解析

openshift.io/sa.scc.mcs: s0:c1,c0 #在pod或SCC没有定义SELinux时提供默认值 openshift.io/sa.scc.supplemental-groups...可以支持多个范围，使用逗号分隔 openshift.io/sa.scc.uid-range: 1000000000/10000 #允许的user ID范围，仅支持单个范围 $ oc get scc...openshift.io/sa.scc.uid-range=1000230000/10000 到此为止，容器可以读取groupid为0的文件夹，但挂载的...的key为openshift.io/scc。...openshift role和clusterrole用于控制pod服务对openshift资源的访问；而SCC用于控制pod的启动和对挂载卷的访问注意：给openshift的默认serviceaccount

1.9K1 0

OpenShift企业测试环境应用部署实战

(该节点肯定只有一个). 2-1-1 创建OpenShift useroot 服务账户说明: 之所以创建OpenShift 服务账户, 是因为 OpenShift 作为企业级容器平台, 进行了安全加固...由于OpenShift不允许本地路径持久化, 所以首先要更改配置使其允许. 创建一个名为hostpath的SCC (SCC可以简单的理解为安全限制策略)....hostPath 挂载到本地目录来实现持久化. 3-1 创建"禅道" 服务(service) 说明: 服务(Service) 是OpenShift或K8S 的专有概念, 简单理解就是把pod内的指定接口暴露给...服务端口80 暴露给OpenShift集群内部....(会创建一个叫 zentao 的 svc) 3-2 创建"禅道" 路由(route) 说明: 路由 (route)是OpenShift的专有概念, 类似于K8S的Ingress, 作用都是把服务暴露给

1K4 0

006.OpenShift持久性存储

只有与PVC具有相同存储类名称的请求类的pv才能绑定到PVC。集群管理员可以为所有PVC设置一个默认存储类，或者配置动态供应程序来服务一个或多个存储类，这些存储类将匹配可用PVC中的规范。...pv与PVCs的相互作用具有以下生命周期：创建持久卷集群管理员创建任意数量的pv，这些pv表示集群用户可以通过OpenShift API使用的实际存储的信息。...1.8 使用NFS的PV OpenShift使用随机uid运行容器，因此将Linux用户从OpenShift节点映射到NFS服务器上的用户并不能正常工作。...最可能匹配pod需求的SCC迫使pod使用SELinux策略。pod使用的SELinux策略可以在pod本身、image、SCC或project(提供默认值)中定义。...rw选项允许对NFS卷进行读写访问，root_squash选项阻止远程连接的根用户拥有root特权，并为nfsnobody分配用户ID 6 openshift_hosted_registry_storage_volume_name

1.9K1 0

openshiftorigin学习记录（10）——基于已有镜像部署应用

参考的博客为《OpenShift_034：部署 mywebsql docker image 访问 mysql 数据库》（该博主的博客需要访问外国网站浏览）。...基于已有镜像部署应用以账号为dev密码为dev的用户登录openshift集群。 # oc login -u dev -p dev 创建一个名为imagetest的项目。...# oc new-project imagetest 以root权限运行该项目中的容器。 openshift中有scc概念，即安全上下文，需要对权限进行管理。...如果不配置，可能会出现容器权限的问题。这里由于对scc还未深入学习，暂时配置为以root权限运行容器。...查看pod的日志可以看见服务已经正常启动。

1.4K0 0

openshift 4.3 Istio的搭建(istio 系列一)

openshift 4.3 Istio的搭建本文档覆盖了官方文档的Setup的所有章节目录 openshift 4.3 Istio的搭建安装Istio openshift安装Istio 更新istio...与其他CNI插件的兼容 TIPs: 安装Istio 本次安装的Istio版本为1.5.2，环境为openshift 4.3 注：不建议使用openshift 1.11(即kubernetes 3.11)...remove-scc-from-group privileged system:serviceaccounts: $ oc adm policy remove-scc-from-group...如下内容中不会对具有标签openshift.io/build.name或openshift.io/deployer-pod-for.name的pod注入sidecar。...类似地，可以使用alwaysInjectSelector对某些具有特殊标签的pod注入sidecar apiVersion: v1 kind: ConfigMap metadata: name:

1.1K4 0

评测Loki日志工具

1.9K2 0

如何通过 kubectl 进入 node shell

这种场景下，我想要通过 kubectl 登录到 K8S 集群里的 Node，可以实现吗？可以的！本质上是利用容器（runC）的弱隔离（共享内核，Cgruop 等实现进程隔离）实现的权限逃逸。...如果贵司使用的一些商业容器平台（如：openshift，rancher）等，可能默认安装时就会通过 PSP scc 或 policy 等预先屏蔽掉这层隐患。...那么，加入你没有对容器的权限做进一步的限制，我是可以通过运行一个特权容器，直接进入到其所在的 node 上的。具体步骤适用于 K8S 1.25 之前的版本。...步骤很简单，就是创建上文说的这么一个特权容器，通过 nsenter command 进入 node shell。...具体使用方法如下： Lens-选择指定 node 进入 shell Lens-实际上也是启动个特权 pod，可以执行 root 命令总结上文介绍了通过 kubectl 命令以 root 权限进入

2K1 0

2022 年 Kubernetes 高危漏洞盘点

如果您不授予在 Pod 上运行“exec”命令的权限，或者不授予与 Kubernetes API 服务器交互的应用程序使用的服务帐户的最低权限，黑客将无法利用该漏洞。补丁发布后立即更新实施。 3....利用很容易，因为攻击者不需要 ArgoCD 中的任何帐户。默认情况下，ArgoCD 服务帐户获得集群管理员角色，从而使攻击者能够完全访问 Kubernetes 集群。...遵循应用程序服务帐户的最小权限原则。将关键组件端点置于安全边界之后，只有受信任的人才能访问该边界。 4....非特权用户本地进程（在启用非特权用户命名空间的情况下）或具有 CAP_SYS_ADMIN 特权的进程可能导致遗留代码的调用，从而利用此漏洞。...这减少了攻击者在集群上获得过多特权的机会，即使他们已经渗透了它。利用Kubescape门户中的RBAC 可视化工具来检测具有不必要权限的角色和参与者。

1.8K1 0

SQL命令 DROP USER

SQL命令 DROP USER 删除用户帐户。大纲 DROP USER user-name 参数 user-name 要删除的用户名。描述 DROP USER命令可删除用户帐户。...此用户帐户是使用CREATE USER创建的，并指定了用户名。如果指定的用户名与现有用户帐户不对应， IRIS将发出SQLCODE-118错误。...选择System Administration(系统管理)、Security(安全性)、Users(用户)以列出现有用户。在此用户帐户表上，可以单击要删除的用户帐户的删除。...权限 DROP USER命令是特权操作。在嵌入式SQL中使用DROP USER之前，必须以具有适当权限的用户身份登录。否则将导致SQLCODE-99错误(特权冲突)。...使用$SYSTEM.Security.Login()方法分配具有适当权限的用户： DO $SYSTEM.Security.Login("_SYSTEM","SYS") &sql(

6624 0

openshiftorigin工作记录（9）——openshift结合jenkins实现持续集成

集成jenkins 参考《openshift/origin学习记录（7）——集成Jenkins服务》，集成jenkins（博客里记录的是非持久化的jenkins，选用jenkins-persistent-template...关于PV和PVC可以参考《openshift/origin工作记录（7）——持久化openshift内部镜像仓库》。...这里的初步解决方案记录如下（核心思路是采用volume挂载）：修改jenkins的环境变量 ? OPENSHIFT_ENABLE_OAUTH:false。...设置不采用openshift的登录认证。 JENKINS_PASSWORD:test。设置admin的初始密码为test。...hostPath挂载需要修改scc权限 java操作jenkins 采用github开源项目，https://github.com/jenkinsci/java-client-api，最后初步实现了所有功能

9895 0

点击加载更多

扫码

添加站长进交流群

领取专属 10元无门槛券

手把手带您无忧上云