云安全—Dashboard 攻击面

0x00 前言

众所周知，如果只是一味的REST接口或者命令行话的操作方式，就会变相的提高操作门款，并且不会有很好的呈现方式，所以就有了web ui的方式，也就是Dashboar面板，本篇主要讨论一下关于Dashboar面板的概述和攻击面。

0x01 dashboard

dashboard是kubernetes集群的Web UI，用户可以通过Dashboard来操作k8s的内容，就和kubectl的操作权限一样。说的直白一点就是，谁能操作dashboard谁就能控制K8S。

dashboar默认的端口是8001，在1.10.1版本之后，默认禁用了登录跳过的按钮

0x02 dashboard

实际上dashboard的攻击面非常简单，有两个，一个就是不能公网开放端口，还有一个就是不能开放未授权访问。

在arg参数配置：- --enable-skip-login

2.未授权

首先查看一下端口kubectl get svc -n kubernetes-dashboard，然后访问对应的https://id:port

在访问后，会有一个跳过，如下图所示：
查看资源

操作

补充知识

docker 优势

Docker 的优势包括：

1. 简化开发流程：Docker 提供了一个轻量级的容器化解决方案，使得应用程序的开发和部署过程更加简单、快捷和可靠。

2. 更容易迁移和部署：Docker 容器可以在不同的操作系统和云平台上运行，使得应用程序的迁移和部署变得更加容易。

3. 节省资源：Docker 容器共享内核和系统资源，使得系统资源的利用率更高。

4. 更安全：Docker 容器提供了隔离和安全性，使得应用程序在容器内运行时更加安全。

5. 更具可扩展性：Docker 容器可以通过扩展集群规模来提高应用程序的可用性和可伸缩性。

6. 开源社区支持：Docker 是一个非常活跃的开源社区，提供了丰富的资源和支持，使得开发者可以更加便捷地使用它。

k8s的优势

Kubernetes（简称K8s）是一个流行的开源容器编排平台，它的优势包括：

1. 自动化容器管理：Kubernetes通过自动化容器部署、伸缩、故障恢复等操作，简化了应用程序的部署和管理过程，减少了手动操作的出错率。

2. 跨平台支持：Kubernetes支持多种容器运行时，如Docker和rkt，也支持多个云供应商，如AWS，Azure等，从而使应用程序的部署更加灵活和可移植。

3. 可靠性和弹性：Kubernetes提供了多点故障恢复和自我修复机制，如果一个容器失败，Kubernetes会自动重启或创建替代的容器，从而确保应用程序的高可用性。

4. 自定义扩展：Kubernetes提供了许多API和插件，应用程序可以根据需要进行自定义扩展，以满足特定的需求。

5. 社区支持：Kubernetes具有广泛的社区支持，可以获得社区成员的建议和帮助，从而提高了应用程序的生产力和质量。

k8s 和docker

Kubernetes (k8s) 并没有放弃 Docker，而是放弃了 Docker 作为其默认的容器运行时（CRI）。这是因为在 Kubernetes 的早期版本中，Docker 是唯一可用的容器运行时，因此 Kubernetes 使用了 Docker 的 API 作为其 CRI。然而，随着时间的推移，其他容器运行时，如CRI-O、containerd 和 frakti 等，逐渐成为了 Kubernetes 生态系统的一部分，并且这些容器运行时与 Kubernetes 更紧密地集成。此外，Docker 提供的特性在 Kubernetes 中也不是必需的，并且 Kubernetes 用户需要的特性可以通过其他容器运行时实现。因此，Kubernetes 并没有放弃 Docker，而是通过支持多个容器运行时来提供更好的灵活性和选择性。

Dashboard 特点

Dashboard（仪表板）的特点包括：

1. 数据可视化：Dashboard 可以将数据可视化，最常见的方式是图表和表格。

2. 实时更新：Dashboard 显示的数据通常是实时更新的，可以及时反映业务或项目的最新状态。

3. 简洁明了：Dashboard 设计应该尽可能简洁明了，避免信息过载和混乱，使用户能够快速理解数据。

4. 交互性：Dashboard 应该具有一定的交互性，用户可以在不同的维度和视角上探索和分析数据。

5. 个性化定制：Dashboard 应该具有一定的个性化定制能力，用户可以根据自己的需求定制自己的仪表板。

6. 多终端支持：Dashboard 应该支持多种终端，例如桌面、手机、平板等，让用户可以随时随地查看数据。

K8S Dashboard 的安全性

Kubernetes Dashboard 是一个集中式的管理界面，可以让用户轻松管理 Kubernetes 集群。在默认情况下，Kubernetes Dashboard 运行的是非安全的服务，没有任何身份验证机制，这可能会导致安全风险。为了增加 Kubernetes Dashboard 的安全性，可以采取以下的安全措施：

1. 创建和使用证书：使用 HTTPS 协议来保护 Dashboard 的通信流量，并使用证书来加密和验证通信流量。

2. 启用身份验证：开启基于 Token 的身份认证，只有经过身份认证的用户才能访问 Kubernetes Dashboard。

3. 启用授权：启用 RBAC（基于角色的访问控制），以确保只有经过授权的用户才能访问不同的 Dashboard 功能和资源。

4. 限制访问：将 Kubernetes Dashboard 与 Kubernetes API Server 分开部署，可以限制从外部访问 Kubernetes API Server 的风险，并加强访问控制。

5. 更新 Kubernetes Dashboard 版本：及时升级到最新版本的 Kubernetes Dashboard，以避免可能存在的漏洞和安全漏洞。

以上。