fork炸弹命令

:(){ :|:& };:

可以看到,如果docker没有限制,会遭到fork炸弹恶意攻击的话,主机直接挂

防御

最开始发现有个ulimit参数,但是对于ulimit设置,其中有个nproc配置来说,不是限制每个容器的,在linux上是作用于用户的eguid,也就是针对用户的pid数量限制

The nproc limit is a bit of a special case, in that it does sum over all the processes of a user. Nonetheless, it still applies per-process: when a process calls fork to create a new process, the call is denied if the number of processes belonging to the process's euid is would be larger than the process's RLIMIT_NPROC value.

然后发现k8s 1.14后支持了pid cgoup的配置,但是支持pid cgroup需要内核,修改方法如下

通过命令ps aux查看配置文件路径

/usr/bin/kubelet --bootstrap-kubeconfig=/etc/kubernetes/bootstrap-kubelet.conf --kubeconfig=/etc/kubernetes/kubelet.conf --config=/var/lib/kubelet/config.yaml --network-plugin=cni --pod-infra-container-image=registry.aliyuncs.com/google_containers/pause:3.6

可以得知kubeletconfig路径为,之后我们可以查看Kubelet Configuration (v1beta1) | Kubernetes

得知,可以通过配置podPidsLimit来限制

参考

https://www.cyberciti.biz/faq/understanding-bash-fork-bomb/

如何在Docker内部使用ulimit——如何在docker内部生成core - 简书

容器安全之配置合适的ulimit - 简书

Fork bomb prevention · Issue #6479 · moby/moby · GitHub

https://github.com/moby/moby/pull/9437

https://github.com/moby/moby/pull/18697

https://github.com/kubernetes/kubernetes/issues/43783

Process ID Limits And Reservations | Kubernetes

https://serverfault.com/questions/1022623/how-to-set-pid-limit-for-containers-in-kubernetes

https://stackoverflow.com/questions/56272911/how-to-set-pid-limit-in-kubernetes-pod

Kubelet Configuration (v1beta1) | Kubernetes

https://kubernetes.io/docs/tasks/administer-cluster/kubelet-config-file/

# 网络安全
Logo
K8S/Kubernetes

K8S/Kubernetes社区为您提供最前沿的新闻资讯和知识内容

更多推荐

【深度】阿里巴巴万级规模 K8s 集群全局高可用体系之美

作者 |  韩堂、柘远、沉醉来源 | 阿里巴巴云原生公众号​前言台湾作家林清玄在接受记者采访的时候,如此评价自己 30 多年写作生涯:“第一个十年我才华横溢,‘贼光闪现’,令周边黯然失色;第二个十年,我终于‘宝光现形’,不再去抢风头,反而与身边的美丽相得益彰;进入第三个十年,繁华落尽见真醇,我进入了‘醇光初现’的阶段,真正体味到了境界之美”。​长夜有穷,真水无香。领略过了 K8s“身在江

avatar K8S/Kubernetes

如何基于 K8s 构建下一代 DevOps 平台?

作者 | 孙健波(天元)导读:当前云原生 DevOps 体系现状如何?面临哪些挑战?如何通过 OAM 解决云原生 DevOps 场景下的诸多问题?云原生开发应用模型 OAM(Open Application Model) 社区核心成员孙健波将为大家一一解答,并分享如何基于 OAM 和 Kubernetes 打造无限能力的下一代 DevOps 平台。什么是 DevOps?为什么基于 Kub

avatar K8S/Kubernetes

k8s 火了!

2020,上云之年,产品云端化成为一种趋势。在一线城市,很多公司都已经构建了自己的私有云环境,比如阿里云、网易云、华为云等。而Kubernetes 作为基于容器编排领域的王者,具备扩展...

avatar K8S/Kubernetes