PodSecuriyPolicyのdefaultAllowPrivilegeEscalationの意味がよくわからなかったので、確認したメモ。 まず、KubernetesのデフォルトでPSPを有効にしていない状態では、権限昇格は許可されている。 root@cks-master:~# k run pod1 --image=nginx pod/pod1 cr…

プロセスに与えられているケーパビリティーや、権限昇格を許されているかなどを確認するには以下を見ればよい。 cat /proc/<PID>/status / # cat /proc/1/status Name: sleep Umask: 0022 State: S (sleeping) Tgid: 1 Ngid: 0 Pid: 1 PPid: 0 TracerPid: 0 Uid: </pid>…

kubeadmで作成したクラスターでランタイムをDocker/conainerd/runcからcontainerd/runsc(gvisor)に変えてみたメモ。 参考リンク https://gvisor.dev/docs/user_guide/install/ https://github.com/killer-sh/cks-course-environment/tree/master/course-cont…