SecurityContext / kubernetes : capabilities et readOnlyRootFileSystem

Comment les capabilities et le readOnlyRootFileSystem peuvent nous protéger des attaques ? Nous verrons dans cette vidéo comment un conteneur vulnérable est protégé par ces deux options. Nous verrons aussi une mesure simple mais pourtant souvent oubliée pour protéger ses volumes de la destruction. Vidéo précédente avec description de l'attaque : https://youtu.be/l4tKQzLZk1E --- Chapitres 00:00 Intro 00:23 Retour sur l'exemple 01:18 Les capabilities 07:23 readOnlyRootFileSystem : plus grand chose n'est faisable... 11:09 Mais alors, comment on écrit ? Remarque importante 12:44 Quitte à ne pas pouvoir écrire : le readOnly sur les volumes 17:17 Conclusion --- Liens Man capabilities (EN) : https://man7.org/linux/man-pages/man7/capabilities.7.html Excellent article de connect sur le sujet (FR) : https://connect.ed-diamond.com/GNU-Linux-Magazine/glmf-164/les-capabilities-sous-linux Escalade de privilèges : https://youtu.be/zLxW6Dvruy0 Attaque par désérialisation (utilisée dans la vidéo) : https://youtu.be/rSIgMIt_-QI Documentation des flags : https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.31/#securitycontext-v1-core Capabilities : https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.31/#capabilities-v1-core VolumeMount : https://kubernetes.io/docs/reference/generated/kubernetes-api/v1.31/#volumemount-v1-core L'excellent k9s, utilisé dans cette vidéo : https://k9scli.io/