内容纲要
概要描述
本文描述在5.x环境中,8080页面未授权访问漏洞的修复方法
详细描述
1 漏洞描述
kubernetes的服务在正常启动后,会开启两个端口:localhost port(默认8080),Secure Port(默认6443),两个端口都是提供api server服务的,一个可以直接通过web访问,另一个可以通过kubectl客户端进行调用,正常情况下,api server是有权限控制的,分为三种Authentication、Authorization、AdmissionControl,如果运维人员没有合理配置验证和权限,那么攻击者就会根据这两个接口去获取容器的权限,甚至通过创建自定义容器去获取宿主机的权限。
2 解决方案
6.x目前已经解决了这个问题,5.x的话先确认版本
docker images
如下图所示,本文以5.2.4为例
修改apiserver的模板文件
vim /var/lib/transwarp-manager/master/content/meta/services/TOS/transwarp-5.2.4-final/templates/tos-apiserver.manifest
将–insecure-bind-address=0.0.0.0 修改成–insecure-bind-address=127.0.0.1
修改前:
修改后:
重启manager服务
/etc/init.d/transwarp-manager restart
TOS配置服务
重启TOS
3 验证方法