Меня как администратора кластера Kubernetes попросили включить возможности Linux chown, dac_override и fowner в ОБЩЕМ кластере Kubernetes для некоторых специальных модулей.
Но я обнаружил, что открывать эти возможности в контейнере ужасно: https://www.redhat.com/en/blog/secure-your-containers-one-weird-trick
Я хотел бы знать, могут ли модули использовать эти возможности ТОЛЬКО для файлов/папок в модуле? Или они также могут использовать их в файлах/папках хоста, чтобы что-то взломать?
Я также открываю разрешение RunAsRoot, но отключаю разрешение Privileged.
Поэтому я хотел бы знать, есть ли какие-либо проблемы с безопасностью, чтобы включить эти возможности в кластере Kube?
Или есть способ ПРОСТО позволить некоторым специальным модулям иметь эти возможности?
Большое спасибо!
