Red Hat Summit15장. seccomp 프로필 구성
OpenShift Container Platform 컨테이너 또는 Pod는 하나 이상의 잘 정의된 작업을 수행하는 단일 애플리케이션을 실행합니다. 애플리케이션에는 일반적으로 기본 운영 체제 커널 API의 작은 하위 집합만 필요합니다. 보안 컴퓨팅 모드인 seccomp는 컨테이너에서 실행되는 프로세스가 사용 가능한 시스템 호출의 하위 집합만 사용하도록 제한하는 데 사용할 수 있는 Linux 커널 기능입니다.
제한된 v2 SCC는 4.19에서 새로 생성된 모든 Pod에 적용됩니다. 이러한 포드에는 기본 seccomp 프로필 런타임/기본값이 적용됩니다.
seccomp 프로필은 디스크에 JSON 파일로 저장됩니다.
seccomp 프로필은 권한 있는 컨테이너에 적용할 수 없습니다.
15.1. Pod에 적용된 기본 seccomp 프로필 확인
OpenShift Container Platform은 runtime/default 로 참조되는 기본 seccomp 프로필과 함께 제공됩니다. 4.19에서는 새로 생성된 포드의 보안 컨텍스트 제약(SCC)이 restricted-v2 로 설정되고 기본 seccomp 프로필이 포드에 적용됩니다.
프로세스
다음 명령을 실행하여 포드에 설정된 보안 컨텍스트 제약(SCC)과 기본 seccomp 프로필을 확인할 수 있습니다.
네임스페이스에서 어떤 포드가 실행 중인지 확인하세요.
oc get pods -n <namespace>
$ oc get pods -n <namespace>Copy to Clipboard Copied! Toggle word wrap Toggle overflow 예를 들어,
워크숍네임스페이스에서 어떤 포드가 실행 중인지 확인하려면 다음을 실행합니다.oc get pods -n workshop
$ oc get pods -n workshopCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
NAME READY STATUS RESTARTS AGE parksmap-1-4xkwf 1/1 Running 0 2m17s parksmap-1-deploy 0/1 Completed 0 2m22s
NAME READY STATUS RESTARTS AGE parksmap-1-4xkwf 1/1 Running 0 2m17s parksmap-1-deploy 0/1 Completed 0 2m22sCopy to Clipboard Copied! Toggle word wrap Toggle overflow 포드를 검사하세요:
oc get pod parksmap-1-4xkwf -n workshop -o yaml
$ oc get pod parksmap-1-4xkwf -n workshop -o yamlCopy to Clipboard Copied! Toggle word wrap Toggle overflow 출력 예
Copy to Clipboard Copied! Toggle word wrap Toggle overflow
15.1.1. 업그레이드된 클러스터
4.19로 업그레이드된 클러스터에서는 인증된 모든 사용자가 제한된 SCC 및 제한된 v2 SCC에 액세스할 수 있습니다.
예를 들어 업그레이드 시 OpenShift Container Platform v4.10 클러스터에서 restricted SCC에 의해 허용된 워크로드는 restricted-v2에 의해 허용될 수 있습니다. restricted-v2는 restricted 및 restricted-v2 간에 더 제한적인 SCC이기 때문입니다.
워크로드는 retricketed-v2 로 실행될 수 있어야 합니다.
반대로 privilegeEscalation: true가 필요한 작업 부하의 경우 이 작업 부하에서는 인증된 모든 사용자가 제한된 SCC를 계속 사용할 수 있습니다. 이는 restricted-v2가 privilegeEscalation을 허용하지 않기 때문입니다.
15.1.2. 새로 설치된 클러스터
새로 설치된 OpenShift Container Platform 4.11 이상 클러스터의 경우, restricted-v2는 모든 인증된 사용자가 사용할 수 있는 SCC로서 restricted SCC를 대체합니다. privilegeEscalation: true 인 워크로드는 기본적으로 인증된 사용자에게 사용 가능한 유일한 SCC인 restricted-v2 가 클러스터에 허용되지 않습니다.
privilegeEscalation 기능은 restricted으로 허용되지만 restricted-v2로는 허용되지 않습니다. 제한된 SCC에서 허용한 기능보다 제한된 v2 에서 거부하는 기능이 더 많습니다.
privilegeEscalation: true가 설정된 워크로드는 새로 설치된 OpenShift Container Platform 4.11 이상 클러스터에 수용될 수 있습니다. RoleBinding을 사용하여 워크로드를 실행하는 ServiceAccount(또는 이 워크로드를 허용할 수 있는 다른 SCC)에 제한된 SCC에 대한 액세스 권한을 부여하려면 다음 명령을 실행합니다.
oc -n <workload-namespace> adm policy add-scc-to-user <scc-name> -z <serviceaccount_name>
$ oc -n <workload-namespace> adm policy add-scc-to-user <scc-name> -z <serviceaccount_name>
OpenShift Container Platform 4.19에서는 seccomp.security.alpha.kubernetes.io/pod:runtime/default 및 container.seccomp.security.alpha.kubernetes.io/<container_name>:runtime/default라는 포드 주석을 추가하는 기능이 더 이상 제공되지 않습니다.
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}