Terraform 是一种安全有效地构建、更改和版本控制基础设施的工具(基础架构自动化的编排工具)。它的目标是 “Write, Plan, and create Infrastructure as Code”, 基础架构即代码。
通俗的讲,Terraform是一个运行在客户端的开源的用于资源编排的自动化运维工具。通过代码的形式将所要管理的资源定义在模板中,解析并执行模板来自动化完成资源的创建、变更和管理,进而达到自动化运维的目标。
Terraform是由Hashicorp公司推出的一个开源项目,使用Go语言编写。目前主流的云厂商如AWS、GCP、腾讯云、阿里云等都支持使用Terraform进行云上资源的自动编排管理。
/var/log可导致pod逃逸kubectl提供kebectl logs <pod_name>命令查看pod容器的日志,实现原理如下图所示:
k8s api server 对外提供api /logs 查看pod日志,实际是由kubelet提供的服务,kubelet在node上启动一个文件服务器提供日志查询服务,目录为/var/log,查询api为/logs。如下,访问node(10.0.0.76)上kubelet api /logs 可以列出node主机上/var/log目录下的所有目录和文件。
1 | ubuntu@VM-0-76-ubuntu:~$ curl -H 'Authorization: Bearer ihZppLLOVDSCRZS1zFPSwSLHk5odz8zg' -k https://10.0.0.76:10250/logs/ |
kubelet查询相应pod的日志,实际是访问/var/log/目录下对应容器目录下的0.log文件(见上图),该文件本质上是一个符号链接,目标日志文件在/var/lib/docker/containers目录下。
1 | #ls -alh 0.log |
kubelet查看日志文件支持文符号链接。如果容器内挂载了主机/var/log目录,可以通过在容器内创建符号链接到/,再利用/logs可以访问node主机上的任意文件,造成pod逃逸问题。文章Kubernetes Pod Escape Using Log Mounts针对该问题进行了pod逃逸的实验,容器内创建符号链接到/,通过logsapi获取宿主机的token或SSH私钥文件实现pod逃逸。
容器内符号链接到/实现pod逃逸,需要满足如下条件:
/var/log目录挂载到容器内,且可写;logs api的权限。kubelet 10250端口未设置匿名访问选项,是需要认证授权才能访问logsapi接口,而kubelet 10255只读端口,可以不用验证和授权机制,直接访问,但是对下列api做了限制,默认禁止访问,这里面就包括/logsapi,因此不能通过10255端口绕过logsapi访问授权问题。
1 | "/run/", "/exec/", "/attach/", "/portForward/", "/containerLogs/", "/runningpods/", "/logs/" |
kubernetes官方博客对subpath volume漏洞的原因做了深入分析,具体细节在这里不做过多描述,可查看文章了解。
利用subpath volume漏洞可以逃逸容器内的文件系统访问主机上的任何文件。 容器运行时挂载volume需要知道容器内的路径及对应的主机路径,kubernetes将subpath volume 和base volume同等对待,并没有对subpath volume的路径进行有效性校验,例如子路径(symlink跳转解析后的真实路径)是否在父路径范围下,导致可以利用symlink等特性将主机的根路径(/)挂载到容器内。
增加k8s yum源,编辑/etc/yum.repos.d/kubernetes.repo
1 | [kubernetes] |
安装kubeadm和相关工具
1 | yum install -y kubelet kubeadm kubectl --disbaleexcludes=kubernetes |
启动docker和kubelet
1 | systemctl enable docker && systemctl staart docker |
编辑kubeadm init配置文件
1 | kubeadm config print init-defaults > init.default.yaml |
参考init.defaukt.yaml文件编辑配置文件init.config.yaml
1 | apiVersion: kubeadm.k8s.io/v1beta1 |
k8s版本14, api-server支持secret加密参数为encryption-provider-config,参考:https://kubernetes.io/docs/tasks/administer-cluster/encrypt-data/#before-you-begin
kube-secret.yaml文件
1 | apiVersion: apiserver.config.k8s.io/v1 |
kube-secret.yaml路径选择
kube-secret.yaml需要mount到api-server pod可访问的路径,这样api-server才能访问,这里选择默认会mount的路径/etc/kubernetes/pki
拉取相关镜像
1 | kubeadm config images pull --config=init-config.yaml |
安装master
1 | kubeadm init --config=init-config.yaml |
验证aescbc加密
安装etcdctl
1 | !/bin/bash |
验证
1 | ETCDCTL_API=3 etcdctl get /registry/secrets/default/default-token-6q4bn --cacert="/etc/kubernetes/pki/etcd/ca.crt" --cert="/etc/kubernetes/pki/apiserver-etcd-client.crt" --key="/etc/kubernetes/pki/apiserver-etcd-client.key" --endpoints=127.0.0.1:2379 |
maxOS 10.13.6版本中系统偏好设置的显示器默认不显示屏幕旋转的选项,需要特定操作打开
拷贝IDA文件到虚拟机中,
/Applications/IDA Pro 7.0/ida.app/Contents/MacOS/dbgsrv/linux_server64
拷贝linux_server64到虚拟机,则宿主机打开IDA64版本,要求版本一致。
虚拟机执行监听
1 | /home/xxx/Desktop/linux_server64 |
flink scala编程入门的教程网上有一些,看着步骤相对比较简单,但是实践起来还是遇到不少的坑,这里记录下过程,供日后查阅,备注附录了遇到的一些问题。至于代码解释可自行查阅网上其他资料,这里不再赘述。
psutil(Python system and process utilities)是一个跨平台的进程管理和系统工具的python库,
可以获取进程、系统CPU,memory,disks,network等信息。psutil主要用于系统资源的监控,分析,以及对进程进行一定的管理。支持的系统有Linux, Windows, OSX, FreeBSD and Sun Solaris,32和64位系统都支持。