초보자의 질문입니다.
/etc/kubernetes/pki/ca.crt에 대한 액세스를 누구에게 허용합니까?
클러스터 관리자가 아닌 사람이 인증서에 액세스(예: 복사 및 배포, 업데이트/제거)할 경우 클러스터에 어떤 피해가 발생합니까?
/etc/kubernetes/pki/ca.crt 및 /etc/kubernetes/pki/ca.key를 사용하여 서명된 인증서가 업데이트되거나 삭제되면 어떻게 되나요? 실패할까요?
답변1
파일은 일반적으로 읽기 전용 액세스 측면에서 민감하지 않습니다(사소한 정보 유출이 있지만 대부분의 클러스터 운영자는 신경 쓰지 않는 것 같습니다). 이에 대한 쉬운 액세스를 허용하면 클라이언트가 API 서버(이 CA에서 서명한 다른 인증서와 함께)에 연결하여 연결을 확인할 수 있습니다.
수정/교체 허용 여부는 수정/교체 위치와 방법에 따라 다릅니다. Kubernetes에서 제공하는 configmap을 수정하여 이 작업을 kube-root-ca.crt수행하면 클라이언트가 연결을 확인할 수 없기 때문에 클러스터 연결이 실패할 수 있습니다.
제어 플레인 노드에서 파일을 변경하면 상황이 더욱 심각해질 수 있습니다. 특히 해당 파일에 대한 권한을 변경(일반적으로 644 루트:루트로 설정)하면 공격자가 ca.key 파일을 읽고 수정할 수 있습니다. 이 경우 공격자는 사실상 클러스터를 완전히 제어할 수 있습니다.