Сегодня рассмотрим Restricted PodSecurityPolicy из Pod Security Standards. Что такое PodSecurityPolicy можно вспомнить тут.
Хотелось бы выделить следующие несколько моментов:
1) Политики для
2)
3)
4) Не определены настройки
Bonus:
5) Не забывайте об ограничениях по ресурсам (об этом говорили тут)
Так что можно сказать это не идеальная Restricted политика, но очень хорошая для первоначальной цели ...
Хотелось бы выделить следующие несколько моментов:
1) Политики для
seccomp и apparmor используются в default конфигурации, так что их еще можно захардеренить.2)
seLinux имеет значение RunAsAny, потому что предполагается, что используется не он, а AppArmor.3)
ReadOnlyRootFilesystem стоит в false, хотя в усиленном варианте тут должно быть true (тут непонятно почему у них так ...)4) Не определены настройки
sysctl профиля: forbiddenSysctls, allowedUnsafeSysctls - используется список по умолчанию (разрешены все безопасные sysctl).Bonus:
5) Не забывайте об ограничениях по ресурсам (об этом говорили тут)
Так что можно сказать это не идеальная Restricted политика, но очень хорошая для первоначальной цели ...