apiVersion: v1
kind: Pod
metadata:
name: nginx pod
spec:
containers:
- name: nginx
image: nginx
if you dont change nothing the image is pull from from the docker hub
always check the image you pull don't start random thing on youre cluster
a good practice is to have a gitlab host on you network and this lab contain the custom image you need for you hown app greate with helm
you can configure setup at a pods level
apiVersion: v1
kind: Pod
metadata:
name: nginx pod
spec:
securityContext:
runAsUser: 1000
capabilities:
add: ["MAC_ADMIN"]
containers:
- name: nginx
image: nginx
securityContext:
capabilities:
add: ["MAC_ADMIN"]
the capabilities is the highest level of security you can do at a pods level
| Capability | Description |
|---|---|
CAP_AUDIT_CONTROL |
Gérer les règles de journalisation auditd. |
CAP_AUDIT_READ |
Lire les logs d’audit via un descripteur spécial. |
CAP_AUDIT_WRITE |
Écrire dans les logs d’audit. |
CAP_CHOWN |
Changer le propriétaire d’un fichier. |
CAP_DAC_OVERRIDE |
Bypasser les permissions classiques (read/write/exec). |
CAP_DAC_READ_SEARCH |
Lire n’importe quel fichier / faire des recherches dans n’importe quel répertoire. |
CAP_FOWNER |
Forcer les opérations sur des fichiers appartenant à l’utilisateur. |
CAP_FSETID |
Garder les bits setuid et setgid lors de changements de fichier. |
CAP_IPC_LOCK |
Verrouiller la mémoire (mlock). |
CAP_IPC_OWNER |
Bypasser les contrôles de propriété sur les IPC. |
CAP_KILL |
Tuer n’importe quel processus. |
CAP_LEASE |
Gérer les locks de fichier (file leases). |
CAP_LINUX_IMMUTABLE |
Marquer un fichier comme immuable. |
CAP_MAC_ADMIN |
Gérer les règles MAC (Mandatory Access Control). |
CAP_MAC_OVERRIDE |
Bypasser les règles MAC. |
CAP_MKNOD |
Créer des périphériques spéciaux. |
CAP_NET_ADMIN |
Gérer les interfaces réseau, le firewall, les routes. |
CAP_NET_BIND_SERVICE |
Lier des ports < 1024. |
CAP_NET_BROADCAST |
Envoyer des broadcasts réseau. |
CAP_NET_RAW |
Utiliser des sockets raw (ping, tcpdump…). |
CAP_SETFCAP |
Appliquer des file capabilities. |
CAP_SETGID |
Changer de groupe (setgid). |
CAP_SETPCAP |
Gérer les capabilities des autres processus. |
CAP_SETUID |
Changer d’utilisateur (setuid). |
CAP_SYS_ADMIN |
Très large : gérer les montages, périphériques, namespaces, etc. |
CAP_SYS_BOOT |
Redémarrer le système. |
CAP_SYS_CHROOT |
Utiliser chroot. |
CAP_SYS_MODULE |
Charger ou retirer des modules noyau. |
CAP_SYS_NICE |
Modifier les priorités CPU. |
CAP_SYS_PACCT |
Gérer le système de comptabilité des processus. |
CAP_SYS_PTRACE |
Inspecter ou injecter du code dans d’autres processus. |
CAP_SYS_RAWIO |
Effectuer des I/O bas niveau (ex : accès direct au disque). |
CAP_SYS_RESOURCE |
Modifier les limites de ressources (ulimit). |
CAP_SYS_TIME |
Modifier la date et l’heure système. |
CAP_SYS_TTY_CONFIG |
Configurer les TTYs. |
CAP_SYSLOG |
Lire ou écrire dans le syslog du kernel. |
CAP_WAKE_ALARM |
Programmer des réveils via des timers. |
🔒 Astuce sécurité : Ne donne qu’un sous-ensemble strictement nécessaire pour limiter les risques.