Kubernetes v1.33 : les espaces de noms d'utilisateur activés par défaut !
Kubernetes v1.33 active maintenant les espaces de noms d'utilisateur par défaut, améliorant la sécurité des pods. Les espaces de noms d'utilisateur, une fonctionnalité du noyau Linux distincte des espaces de noms Kubernetes, isolent les UID et GID des conteneurs du hôte. Cette isolation empêche les mouvements latéraux entre les conteneurs et améliore la sécurité de l'hôte même si un conteneur s'échappe. L'activation des espaces de noms d'utilisateur permet d'exécuter des applications nécessitant des opérations privilégiées sans accorder un accès racine complet à l'hôte. Les pods optent pour les espaces de noms d'utilisateur en définissant hostUsers: false dans la spécification du pod. La fonctionnalité nécessite des systèmes de fichiers prenant en charge les montages idmap, une fonctionnalité du noyau Linux simplifiant la mise en correspondance des UID/GID. Bien qu'une version de noyau 6.3 ou supérieure soit recommandée pour une prise en charge complète, les noyaux plus anciens peuvent fonctionner avec des limitations. Les espaces de noms d'utilisateur atténuent de nombreux CVE en empêchant les privilèges root sur l'hôte même si un conteneur est compromis. Cela améliore significativement la sécurité en limitant l'impact des évasions de conteneur et en renforçant la protection du système dans son ensemble. Des informations et des ressources supplémentaires sont disponibles pour une compréhension et une mise en œuvre plus approfondies.
hostUsers: falsedans la spécification du pod. La fonctionnalité nécessite des systèmes de fichiers prenant en charge les montages idmap, une fonctionnalité du noyau Linux simplifiant la mise en correspondance des UID/GID. Bien qu'une version de noyau 6.3 ou supérieure soit recommandée pour une prise en charge complète, les noyaux plus anciens peuvent fonctionner avec des limitations. Les espaces de noms d'utilisateur atténuent de nombreux CVE en empêchant les privilèges root sur l'hôte même si un conteneur est compromis. Cela améliore significativement la sécurité en limitant l'impact des évasions de conteneur et en renforçant la protection du système dans son ensemble. Des informations et des ressources supplémentaires sont disponibles pour une compréhension et une mise en œuvre plus approfondies.