概要描述

本文描述在5.x环境中，8080页面未授权访问漏洞的修复方法

详细描述

1 漏洞描述

kubernetes的服务在正常启动后，会开启两个端口：localhost port（默认8080），Secure Port（默认6443），两个端口都是提供api server服务的，一个可以直接通过web访问，另一个可以通过kubectl客户端进行调用，正常情况下，api server是有权限控制的，分为三种Authentication、Authorization、AdmissionControl，如果运维人员没有合理配置验证和权限，那么攻击者就会根据这两个接口去获取容器的权限，甚至通过创建自定义容器去获取宿主机的权限。

2 解决方案

6.x目前已经解决了这个问题，5.x的话先确认版本

docker images

如下图所示，本文以5.2.4为例

修改apiserver的模板文件

vim /var/lib/transwarp-manager/master/content/meta/services/TOS/transwarp-5.2.4-final/templates/tos-apiserver.manifest

将–insecure-bind-address=0.0.0.0 修改成–insecure-bind-address=127.0.0.1

修改前：

修改后：

重启manager服务

/etc/init.d/transwarp-manager restart

TOS配置服务

重启TOS

3 验证方法