描述
- 通过禁止容器内子进程拥有提升权限的能力,可以降低被容器中的恶意进程实现越权操作的风险。
- 如果确认当前工作负载确实需要允许容器内子进程拥有提升权限的能力的话,可以忽略此检查项。
加固建议
- 修改工作负载的 Pod Spec 中的 securityContext 定义,增加 allowPrivilegeEscalation: false 配置。
示例
# Pod Spec (container configuration)
securityContext:
allowPrivilegeEscalation: false
扩展阅读
- Configure a Security Context for a Pod or Container | Kubernetes
