容器技术
1 基础知识
一个问题,一篇文章,一出故事。
笔者生产环境中通过sudo授权容器用户podman使用root权限时,为防止用户利用podman的cp子命令修改sudo配置提升权限,于是整理此章节。
2 最佳实践
2.1 环境信息
2.2 配置sudo授权
vim /etc/sudoers.d/podman
加入如下配置,
%podman ALL=(root) NOPASSWD: /usr/bin/podman podman ALL=(root) NOPASSWD: !/*/* /*,!/*/* * /*,!/*/* *sudoers*
2.2 用户破解逻辑演示
2.2.1 切换到授权用户
su - podman
2.2.2 复制宿主机当前配置
sudo podman cp /etc/sudoers myhost:/tmp/sudoers
2.2.3 覆盖当前sudo配置提升权限
sudo podman cp myhost:/tmp/sudoers /etc/sudoers
或者,用户这样操作,
cd /etc/ sudo podman cp myhost:/tmp/sudoers sudoers
参阅文档
========================
https://catalog.redhat.com/software/containers/ubi8/ubi/5c359854d70cc534b3a3784e?container-tabs=gti
没有评论