通过 websocket ssh 登录到 k8s 的 pod，如何禁止一些危险命令？

2020-06-23 21:01:59 +08:00

zhoudaiyu

我们做了个 paas 平台，支持通过 web terminal(websocket)用 ssh 进去到 pod 中，但是用户进到容器后执行的操作我们是没法限制的，比如 rm 这种，现在想限制一下执行的指令，把危险操作过滤掉，大佬们有什么思路吗？

1486 次点击

所在节点

5 条回复

linvaux

2020-06-23 23:28:55 +08:00

alias rm="echo fu*k rm !!!"

xiqingongzi

2020-06-23 23:59:53 +08:00

先把过程捋一下，目前感觉环节不少，应该可以在其中的某一个环节过滤掉

rbe

2020-06-24 01:22:41 +08:00

bash -r ?

binux

2020-06-24 01:25:12 +08:00

pod 是谁的？如果是用户的你管他执行什么呢。
如果是你的，那你就为每个用户单独创建一个 pod，用完重建。

ica10888

2020-06-24 08:47:39 +08:00

如果是 debug，可以试下 ephemeral container，启用命名空间进程共享，然后在这个容器的镜像里面做命令行的限制。不过这样也是防君子比防小人，毕竟 docker 是轻度隔离，总有方法绕过来的。

第 1 页／共 1 页

这是一个专为移动设备优化的页面（即为了让你能够在 Google 搜索结果里秒开这个页面），如果你希望参与 V2EX 社区的讨论，你可以继续到 V2EX 上打开本讨论主题的完整版本。

V2EX 是创意工作者们的社区，是一个分享自己正在做的有趣事物、交流想法，可以遇见新朋友甚至新机会的地方。

V2EX is a community of developers, designers and creative people.