侧边栏壁纸
博主头像
laoliyun

生活总是这样,不能叫人处处都满意,但我们还要热情地活下去,人活一生值得爱的东西很多,不要因为一个不满意就灰心。

  • 累计撰写 133 篇文章
  • 累计创建 44 个标签
  • 累计收到 0 条评论

目 录CONTENT

文章目录
K8s

每日复盘-kubelet 10255端口漏洞

laoliyun
2022-07-06 / 0 评论 / 0 点赞 / 481 阅读 / 179 字
温馨提示:
本文最后更新于 2022-07-06,若内容或图片失效,请留言反馈。部分素材来自网络,若不小心影响到您的利益,请联系我们删除。

工作
处理kubelet 10255漏洞
kubelet默认会开放10255只读端口,例如:ip:10255/pods,用于查询解点pods信息,但这些信息中会包含环境变量,健康探针,启动钩子等等,这些很多都是敏感信息,所以不能对外暴露该只读接口。
修复方案
1 参考官网
img
kubelet增加启动参数:–read-only-port=0

2 每台节点安全组绕过10255端口

3 对于每台节点设置iptables拒绝10255进来的流量

最终采用修改iptables的方案,对于input走本地10255端口的流量丢弃:

iptables -I INPUT -p tcp --dport 10255 -j DROP

service iptables save
0

评论区