React — русскоговорящее с...
Android Developers
Python
Vue.js — русскоговорящее ...
supapro.cxx
DotNetRuChat
GNU/Linux Help
Telegram Developers
Node.js — русскоговорящее...
DevOps — русскоговорящее ...
JavaScript Noobs — сообще...
![Django [ru]](https://image.telq.org/channel_avatar_1063854692_12437233608009742_mini.jpeg){kind=avatar}
Django [ru]
Go-go!
Angular - русскоговорящее...
ntwrk
Верстка сайтов HTML/CSS/J...
phpGeeks
Kubernetes — русскоговоря...
Битрикс для разработчиков
MODX. Русскоязычное сообщ...
pgsql – PostgreSQL
Laravel Pro
iOS Developers — русского...
ClickHouse не тормозит
Rust — русскоговорящее со...
JavaScript — русскоговоря...
С#
pro.cxx
pro.jvm
React Native — русскогово...
Devs Chat
Docker — русскоговорящее ...
HTML/CSS — русскоговоряще...
Python beginners
🐧 RU.UBUNTU — Официальное...
Kotlin Community
Embedded Group
Чат экстремального погром...
aiogram
Scala User Group
Haskell
PHP
TypeScript
Клуб Vue.js-разработчиков
Xamarin Developers (MAUI,...
F# Chat
![Svelte [svelt] - All abou...](https://image.telq.org/channel_avatar_1142273288_5399907573915831550_mini.jpeg){kind=avatar}
Svelte [svelt] - All abou...
Системное администрирован...
Nuxt.js | Vue SSR
var chat = new Chat();
Data Science Chat
Android Architecture
Laravel для начинающих
Церковь метрик
Dart & Flutter
Ассемблер
QA — русскоговорящее сооб...
Tarantool
pro.elixir
Python Flask
SAP ABAP
R (язык программирования)
learn.java
Big Data Science :: AI / ...
DevsHelper
SwiftBook
Solidity Development
pro.net (former COM+)
OpenStreetMap RU
Visual Studio Code — русс...
Delphi & Lazarus
ru_mysql
pro.lua
GraphQL — русскоговорящее...
Dart / Flutter
Evolution CMS развитие и ...
pro.Asm
OpenCartForum - 🇺🇦🇪🇺Чат O...
Angular.js (1.x) — русско...
IDE и редакторы — русског...
Frontend_ru
Flutter Developers — русс...
AutoIT RU
AI / Искусственный Интелл...
Lame C
Laravel Framework Russian...
WebPwnChat
Чат — Верстка Сайтов и Фр...
pro.python
Java Underground
dlang.ru
Natural Language Processi...
javascript_ru
SqlCom.ru - сообщество MS...
Cinema 4D
pro.vim
Delphi Community
Autohotkey_RU ( v1 & v2 )
PHP DevConf KZ🇰🇿
pro.rb (Ruby/Rails / RU)
RubyRush.ru
Oracle RU
DevOps
Software Design/Architect...
Server Side Swift Develop...
sql_ninja
AndroidDev Pro:: Професси...
WordPress for developers
Odoo talks & fun
PowerShellRus - о Powersh...
Эльбрусы и с чем их едят
Java/Kotlin and more
pro.buildsystems
ru.nim.talks
Modern::Perl
Powershell Rus
Python для анализа данных
Скрипты Гугл, Таблицы, Go...
Haskell Start
WebGL ru
werf (чат)
Compiler Development
firebase_ru — русскоговор...
phpclub.ru
RU.CRYPTOGRAPHY — Криптог...
ErlangRus
QA juniors
GameDev for Web
Electron.js
Go Get A Job
MySQL (EN)
Это RabbitMQ
Lame C++
pro.osdev - os developmen...
RU.Docker — Официальное Р...
Emacs — русскоговорящее с...
PostgreSQL (English)
Ember_js
Django
Tilda Developers
FreePascal & Lazarus
WordPress – русскоговорящ...
Язык программирования Jul...
ReasonML и OCaml
ansible — русскоговорящее...
sentry_ru
WebAssembly — русскоговор...
Сrystal Lang — русскогово...
aiohttp
Clojure — русскоговорящее...
heroku_ru
PowerShell Pro
systemd
macOS Developers — русско...
use Perl or die;
FORTH и родственные ЯП
ru_jenkins
Natural Language Processi...
CatBoost
DevSecOps - русскоговорящ...
CyberBiology
Sequelize - community (en...
sonarqube_ru
Elm Lang сообщество разра...
SublimeText_RU
NativeScript
WordPress CodeRun
ReactiveX - русскоговорящ...
PureScript — русскоговоря...
#Вайти
Эликсир и Вунш
Cassandra
Всем доброго утра! Какой самый нативный способ для приложения на golang
в кубере узнать свой Namespace в котором он установлен?
Нашёл вот закрытый issue
https://github.com/kubernetes/client-go/issues/804
Получается реально только читать из файла /var/run/secrets/kubernetes.io/serviceaccount/namespace или пробрасывать в ENV, как предложено в коментарии
https://github.com/kubernetes/client-go/issues/804#issuecomment-1298410210
неужели с дефолтным serviceAccount-ом нельзя через клиента вычитать?
32 ответов
А передать в под переменной не вариант? Это выглядит намного проще.
сделайте не дефолтный
Антон
Дзык
Автор вопроса
А передать в под переменной не вариант? Это выгляд...
Вот так и решил делать, просто казалось раз есть serviceAccount и уже клиент внутри, то казалось из него можно это стрясти, оказалось что нет и проще переменную добавить в спеке и os.Getenv вычитать
Антон
Дзык
Автор вопроса
сделайте не дефолтный
да, уже не дефолтный, всё равно телодвижений больше выходит...
а чем кат файла не мил? или приложенька запускается с automountServiceAccountToken: false?
Самое простое это metadata.namespace как env. В противном случае сервисакаунту нужны права на чтение нс из апишки
Антон
Дзык
Автор вопроса
а чем кат файла не мил? или приложенька запускаетс...
Мне не нравится такой вариант
Мне не нравится такой вариант
исчерпывающее объяснение
env: - name: NAMESPACE valueFrom: fieldRef: apiVersion: v1 fieldPath: metadata.namespace
> неужели с дефолтным serviceAccount-ом нельзя через клиента вычитать? можно , прочитать файл /var/run/secrets/kubernetes.io/serviceaccount/namespace
исчерпывающее объяснение
Чтение из файла потенуиальная дыра, более безопасно читать в рантайме
Чтение из файла потенуиальная дыра, более безопасн...
А в чём дыра? Чем опасно, кто может воспользоваться?
А в чём дыра? Чем опасно, кто может воспользоватьс...
Смотри 0дей никто не отменяет, плюс файл в принципе можно подменить. Вектор атаки может быть разным и в локальной обработки никто не гарантирует что нельзя будет выполнить выполнение кода после чтения файла. В контексте чтения файлов нужно настраивать fim
А в чём дыра? Чем опасно, кто может воспользоватьс...
да это очередные загоны безопасников. В определенную фазу луны, когда рандомный генератор чисел выдаст 42, станет возможно в не экспортируемую функцию передать аргумент определенного вида, и тогда, если у тебя есть полный ко всему, ты сможешь подменить файл
Смотри 0дей никто не отменяет, плюс файл в принцип...
Ну я не спорю, что в теории можно подменить файл и под подумает, что он в другом неймспейсе. Ну ок. Подумает :)
Антон
Дзык
Автор вопроса
env: - name: NAMESPACE valueFrom: fieldRef: ...
Я так и сделал, только зачем тут apiVersion: v1?
Я так и сделал, только зачем тут apiVersion: v1?
убери, не страшно
Антон
Дзык
Автор вопроса
убери, не страшно
Хотел разобраться, может оно важно в каких-то случаях
Ну я не спорю, что в теории можно подменить файл и...
Все что стейтфул потенциальная дыра либо слабость для неавторизованного доступа
Хотел разобраться, может оно важно в каких-то случ...
это поле несет точно такой-же смысл, как и в других ресурсах куба. У ресурса есть apiVersion, от него зависит схема. Конкретно в этом кейсе apiversion не влияет особо, потому что имя всегда в метадате
Все что стейтфул потенциальная дыра либо слабость ...
монтируемые файлы из секретов и configmap'ов это не стейтфул
монтируемые файлы из секретов и configmap'ов это н...
Еще раз перечитай что я говорил.
Еще раз перечитай что я говорил.
не важно что ты говорил, тред о /var/run/secrets/kubernetes.io/serviceaccount И чтения файлов от туда
не важно что ты говорил, тред о /var/run/secrets/k...
А вот теперь представь что есть уязвимость которая мне позволит подмонтировать какой то файл как сервис акаунт либо я просто хотел испортить жизнь кому то. Я про это и писал. Чтение/запись файлов и работа с ними потенциально опасно.
Тебе что то не понятно?
Тебе что то не понятно?
да это очередные если бы да кабы. Конкретную уязвимость в пример надо давать, и способы ее применения. Подмонтировать? Этим занимается kubelet, насколько мне известно. Ну давай рассмотрим этот вектор атаки, ты каким-то образом ломанул kubelet, чтобы он монтировал левые сервис аккаунты, чтобы что? Чтобы код считал левый аккаунт, и не смог авторизоваться в kube-apiserver? А че бы тогда не монтировать левые entrypoint'ы?
да это очередные если бы да кабы. Конкретную уязви...
Я опять же говорил про потенциальные риски. Кто говорит про кублет)? Например есть 0дей который злоумышленику позволяет подменить твой сервис акаунт на какой либо левый файл. Это можно искобчать?
Я опять же говорил про потенциальные риски. Кто го...
> Например есть 0дей который злоумышленику позволяет подменить твой сервис акаунт на какой либо левый файл В чем этот 0day, монтированием файликов в под вроде kubelet занимается. Можно еще containerd/cri-o ломануть, но опять встает вопрос, нафига тогда подменять service аккаунты
> Например есть 0дей который злоумышленику позволя...
Ты достоверно не знаешь кто смонтировал и изменен ли файл. Так как нет достоверных данных о состоянии. На основе таких сигнатур работает фим. В таком случае ты достоверно знаешь изменился ли файл или нет и что поменялось
исчерпывающее объяснение
резюмируя, читать можно, таких потенциальных дыр можно найти очень много, я бы не парился по этому поводу. Закрывают их судя по всему по субъективному принципу, по каким-то предпринимают меры, по каким-то нет или делают вид что предпринимают, потому что это комплексное решение.
резюмируя, читать можно, таких потенциальных дыр м...
кстати, если я правильно помню, там этот "волюм" - смонтирован с RO
кстати, если я правильно помню, там этот "волюм" -...
да, но там 0day уязвимость, которая подменяет же, то есть монтирует другое
Похожие вопросы
Обсуждают сегодня