ホーム
製品
OpenShift Container Platform
4.3
ビルド
第11章ストラテジーによるビルドのセキュリティー保護

第11章ストラテジーによるビルドのセキュリティー保護

OpenShift Container Platform のビルドは特権付きコンテナーで実行されます。使用されるビルドストラテジーに応じて、ビルドを実行できるユーザーがクラスターおよびホストノードでの自らのパーミッションをエスカレートすることが許可されます。セキュリティー対策として、ビルドを実行できるユーザーおよびそれらのビルドに使用されるストラテジーを制限します。カスタムビルドは特権付きコンテナー内で任意のコードを実行できるためにソースビルドより安全性が低くなります。そのためデフォルトで無効にされます。Dockerfile 処理ロジックにある脆弱性により、権限がホストノードで付与される可能性があるため、Docker ビルドパーミッションを付与する際には注意してください。

デフォルトで、ビルドを作成できるすべてのユーザーには Docker および Source-to-Image (S2I) ビルドストラテジーを使用するためにパーミッションが付与されます。cluster-admin 権限を持つユーザーは、ビルドストラテジーをユーザーにぐローバルに制限する方法についてのセクションで言及されているようにカスタムビルドストラテジーを有効にできます。

許可ポリシーを使用して、どのユーザーがどのビルドストラテジーを使用してビルドできるかについて制限することができます。各ビルドには、対応するビルドサブリソースがあります。ストラテジーを使用してビルド作成するには、ユーザーにビルドを作成するパーミッション および ビルドストラテジーのサブリソースで作成するパーミッションがなければなりません。ビルドストラテジーのサブリソースでの create パーミッションを付与するデフォルトロールが提供されます。

Expand

表11.1 ビルドストラテジーのサブリソースおよびロール
ストラテジー	サブリソース	ロール
Docker	ビルド/docker	system:build-strategy-docker
Source-to-Image (S2I)	ビルド/ソース	system:build-strategy-source
カスタム	ビルド/カスタム	system:build-strategy-custom
JenkinsPipeline	ビルド/jenkinspipeline	system:build-strategy-jenkinspipeline

11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー

特定のビルドストラテジーへのアクセスをグローバルに禁止するには、cluster-admin 権限を持つユーザーとしてログインし、system:authenticated グループから対応するロールを削除し、アノテーション rbac.authorization.kubernetes.io/autoupdate: "false" を適用してそれらを API の再起動間での変更から保護します。以下の例では、Docker ビルドストラテジーを無効にする方法を示します。

手順

rbac.authorization.kubernetes.io/autoupdate アノテーションを適用します。

oc edit clusterrolebinding system:build-strategy-docker-binding

$ oc edit clusterrolebinding system:build-strategy-docker-binding

apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  annotations:
    rbac.authorization.kubernetes.io/autoupdate: "false"


  creationTimestamp: 2018-08-10T01:24:14Z
  name: system:build-strategy-docker-binding
  resourceVersion: "225"
  selfLink: /apis/rbac.authorization.k8s.io/v1/clusterrolebindings/system%3Abuild-strategy-docker-binding
  uid: 17b1f3d4-9c3c-11e8-be62-0800277d20bf
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: system:build-strategy-docker
subjects:
- apiGroup: rbac.authorization.k8s.io
  kind: Group
  name: system:authenticated

Copy to Clipboard

Toggle word wrap

1: rbac.authorization.kubernetes.io/autoupdate アノテーションの値を "false" に変更します。

ロールを削除します。

oc adm policy remove-cluster-role-from-group system:build-strategy-docker system:authenticated

$ oc adm policy remove-cluster-role-from-group system:build-strategy-docker system:authenticated

Copy to Clipboard

Toggle word wrap

ビルドストラテジーのサブリソースもこれらのロールから削除されることを確認します。
```
oc edit clusterrole admin
oc edit clusterrole edit
```
```
$ oc edit clusterrole admin
$ oc edit clusterrole edit
```
Copy to Clipboard Toggle word wrap
それぞれのロールについて、無効にするストラテジーのリソースに対応する行を削除します。
1. admin の Docker ビルドストラテジーの無効化
  kind: ClusterRole metadata: name: admin ... rules: - resources: - builds/custom - builds/docker
  1
  - builds/source ... ...
  Copy to Clipboard Toggle word wrap
  1
  admin ロールを持つユーザーに対して Docker ビルドをグローバルに無効にするためにこの行を削除します。

トップに戻る

第11章ストラテジーによるビルドのセキュリティー保護

11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第11章 ストラテジーによるビルドのセキュリティー保護

11.1. ビルドストラテジーへのアクセスのグローバルな無効化リンクのコピーリンクがクリップボードにコピーされました!

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links

第11章ストラテジーによるビルドのセキュリティー保護

11.1. ビルドストラテジーへのアクセスのグローバルな無効化
リンクのコピー