树叶云kubernetes教程-基于角色的访问控制良好实践-Kubernetes (树叶云电脑)

基于角色的访问控制良好实践

KubernetesRBAC是一项关键的安全控制，可确保集群用户和工作负载只能访问执行其角色所需的资源。重要的是确保在为集群用户设计权限时，集群管理员了解可能发生权限提升的区域，以降低过度访问导致安全事件的风险。

一般良好做法

最低权限

理想情况下，应将最少的RBAC权限分配给用户和服务帐户。仅应使用其操作明确要求的权限。虽然每个集群都会有所不同，但可以应用的一些一般规则是：

尽量减少特权代币的分配

理想情况下，不应为pod分配被授予强大权限的服务帐户。如果工作负载需要强大的权限，请考虑以下做法：

Kubernetes默认提供并非每个集群都需要的访问权限。查看默认提供的RBAC权限可以为安全加固提供机会。通常，不应更改提供给系统的权限：帐户存在一些强化集群权限的选项：

定期审查

定期检查KubernetesRBAC设置是否有冗余条目和可能的权限升级至关重要。如果攻击者能够创建与已删除用户同名的用户帐户，他们可以自动继承已删除用户的所有权限，尤其是分配给该用户的权限。

KubernetesRBAC–提权风险

在KubernetesRBAC中有许多权限，如果授予这些权限，则可以允许用户或服务帐户提升其在集群中的权限或影响集群外的系统。

本节旨在提供集群操作员应注意的区域的可见性，以确保他们不会无意中允许对集群的访问超出预期。

Listingsecrets

通常很清楚，允许对Secrets的访问将允许用户阅读其内容。同样重要的是要注意，​​和​​访问也有效地允许用户透露秘密内容。例如，当返回List响应时（例如，通过​ kubectlgetsecrets-A-oyaml ​），响应包括所有Secrets的内容。

工作负载创建

除非有基于KubernetesPod安全标准的限制，否则能够创建工作负载（Pod或管理Pod的工作负载资源）的用户将能够访问底层节点。

可以运行特权Pod的用户可以使用该访问权限来获得节点访问权限，并可能进一步提升他们的权限。如果您不完全信任具有创建适当安全和隔离Pod的能力的用户或​​其他主体，则应强制执行基线或受限Pod安全标准。您可以使用Pod安全准入或其他（第三方）机制来实施该强制。

您还可以使用已弃用的PodsecurityPolicy机制来限制用户创建特权Pod的能力（注意，PodSecurityPolicy计划在版本1.25中删除）。

在命名空间中创建工作负载还会授予对该命名空间中Secret的间接访问权限。在kube-system或类似特权的命名空间中创建一个pod可以授予用户对他们直接通过RBAC没有的Secret的访问权限

持久卷创建

对创建PersistentVolume的访问可以允许升级对底层主机的访问。在需要访问持久存储的地方，受信任的管理员应该创建PersistentVolume，并且受限用户应该使用PersistentVolumeClaims来访问该存储。

访问节点的代理子资源

有权访问节点对象的代理子资源的用户有权访问KubeletAPI，该API允许在他们有权访问的节点上的每个pod上执行命令。此访问绕过审核日志记录和准入控制，因此在授予此资源权限之前应小心。

Escalateverb

通常，RBAC系统会阻止用户创建比他们拥有的权限更多的集群角色。一个例外是​​verb，拥有此权限的用户可以有效地提升他们的权限。

与​​verb类似，授予用户此权限允许绕过Kubernetes内置的针对权限升级的保护，允许用户创建与具有他们不具有的权限的角色的绑定。

Impersonateverb

此verb允许用户模拟并获得集群中其他用户的权限。授予它时应小心，以确保不能通过模拟帐户之一获得过多的权限。

CSRs 和证书颁发

CSRAPI允许具有CSR创建权限和更新​ certificatesigningrequests/approval ​权限的用户，其中签名者是​ kubernetes.io/kube-apiserver-client ​，以创建新的客户端证书，允许用户对集群进行身份验证。这些客户端证书可以具有任意名称，包括Kubernetes系统组件的副本。这将有效地允许特权升级。

Token请求

对​ serviceaccounts/token ​具有​​权限的用户可以创建TokenRequests来为现有的服务帐户颁发令牌。

控制准入webhook

控制验证​ webhookconfigurations ​或​ mutatingwebhookconfigurations ​的用户可以控制可以读取集群允许的任何对象的webhook，并且在改变webhook的情况下，也可以改变允许的对象。

KubernetesRBAC–拒绝服务风险

对象创建拒绝服务

有权在集群中创建对象的用户可能能够根据对象的大小或数量创建足够大的对象来创建拒绝服务条件，正如Kubernetes使用的etcd中所讨论的那样容易受到OOM攻击。如果允许半受信任或不受信任的用户对系统进行有限访问，这可能与多租户集群特别相关。

缓解此问题的一种选择是使用资源配额来限制可以创建的对象数量。

计算机病毒产生的原因有哪些

计算机病毒产生原因：（1）搞计算机的人员和业余爱好者的恶作剧、寻开心制造出的病毒, 例如象圆点一类的良性病毒。 （2）软件公司及用户为保护自己的软件被非法复制而采取的报复性惩罚措施。 因为他们发现对软件上锁, 不如在其中藏有病毒对非法拷贝的打击大, 这更加助长了各种病毒的传播。 （3）旨在攻击和摧毁计算机信息系统和计算机系统而制造的病毒----就是蓄意进行破坏。 例如1987年底出现在以色列耶路撒冷西伯莱大学的犹太人病毒, 就是雇员在工作中受挫或被辞退时故意制造的。 它针对性强, 破坏性大, 产生于内部, 防不胜防。 （4）用于研究或有益目的而设计的程序, 由于某种原因失去控制或产生了意想不到的效果。

做网站推广,发现网页停留时间短,什么原因?

客户在网站页面停留时间短的原因有以下几点一、网站弹窗的出现很多网站打开之后就会出现弹窗，大部分还带小视频。 二、网页播放声音如果访问网站时候遭到不想听的不必要的杂音的轰炸的话，就想马上离开。 三、网站的关键信息混乱网站的关键信息混乱是非常严重的失误。 四、广告问题网站的广告是一个大问题。 有些站长为了赚广告费，把广告的载入顺序优化，先载入广告后载入网站内容。 五、内容的分页显示有的网站内容很少插入了很多图片，然后进行分页，难道这是一种流行?分页在我看来就是个人为提高点击率的低级伎俩。 六、导航栏的设置导航需要的是直观，描述的清晰，直来直去。 基于Flash的网页往往是最糟糕的那些。 七、结构混乱很多客户就是想找到问题的答案。 如果不能快速有效的找到想要的，客户就去别的地方看了。

文件老不能删除，有什么办法删除掉

有的文件是临时文件。 删了后再运行程序就会又出现。 或者是系统的临时文件，只要开系统就会产生。 另外就是还有可能是病毒程序。 或者是磁盘有坏道。 文件如果在坏道上就不能操作。 还有就是权限。 。 这些的可能性是很多的。 要具体看你是什么原因。