通过 websocket ssh 登录到 k8s 的 pod,如何禁止一些危险命令?
zhoudaiyu · 2020-06-23 21:01:59 +08:00 via iPhone · 1476 次点击这是一个创建于 1401 天前的主题,其中的信息可能已经有所发展或是发生改变。
我们做了个 paas 平台,支持通过 web terminal(websocket)用 ssh 进去到 pod 中,但是用户进到容器后执行的操作我们是没法限制的,比如 rm 这种,现在想限制一下执行的指令,把危险操作过滤掉,大佬们有什么思路吗?
 |
1
linvaux 2020-06-23 23:28:55 +08:00
alias rm="echo fu*k rm !!!"
|
 |
2
xiqingongzi 2020-06-23 23:59:53 +08:00
先把过程捋一下,目前感觉环节不少,应该可以在其中的某一个环节过滤掉
|
 |
3
rbe 2020-06-24 01:22:41 +08:00
bash -r ?
|
 |
4
binux 2020-06-24 01:25:12 +08:00
pod 是谁的?如果是用户的你管他执行什么呢。
如果是你的,那你就为每个用户单独创建一个 pod,用完重建。 |
 |
5
ica10888 2020-06-24 08:47:39 +08:00 via Android
如果是 debug,可以试下 ephemeral container,启用命名空间进程共享,然后在这个容器的镜像里面做命令行的限制。不过这样也是防君子比防小人,毕竟 docker 是轻度隔离,总有方法绕过来的。
|
Select Language