如防止sudo podman修改宿主机配置提权?

容器技术

1 基础知识

一个问题,一篇文章,一出故事。
笔者生产环境中通过sudo授权容器用户podman使用root权限时,为防止用户利用podman的cp子命令修改sudo配置提升权限,于是整理此章节。

2 最佳实践

2.1 环境信息

如何yum部署podman?

2.2 配置sudo授权

vim /etc/sudoers.d/podman

加入如下配置,

%podman ALL=(root) NOPASSWD: /usr/bin/podman
podman ALL=(root) NOPASSWD: !/*/* /*,!/*/* * /*,!/*/* *sudoers*

2.2 用户破解逻辑演示

2.2.1 切换到授权用户

su - podman

2.2.2 复制宿主机当前配置

sudo podman cp /etc/sudoers myhost:/tmp/sudoers

2.2.3 覆盖当前sudo配置提升权限

sudo podman cp myhost:/tmp/sudoers /etc/sudoers

或者,用户这样操作,

cd /etc/
sudo podman cp myhost:/tmp/sudoers sudoers

参阅文档
========================
https://catalog.redhat.com/software/containers/ubi8/ubi/5c359854d70cc534b3a3784e?container-tabs=gti

没有评论

发表回复

容器技术
如防止sudo podma挂载宿主机系统II?

1 前言 一个问题,一篇文章,一出故事。 上一篇笔者针对通过sudo授权容器用户podman使用ro …

容器技术
如防止sudo podman挂载宿主机系统?

1 前言 一个问题,一篇文章,一出故事。 笔者生产环境中通过sudo授权容器用户podman使用ro …

容器技术
如何编译部署podman?

1 基础知识 1.1 podman的介绍 – podman是Pod Manager的缩写 …