Расшифровка kubernetes master api звонков

Question

Расшифровка kubernetes master api звонков

Команда, я запускаю kubectl со своего ноутбука и записал след Wireshark того же самого. Как я могу расшифровать трафик, попадающий на сервер API?

пример: мы расшифровываем вызовы http, используя закрытый ключ веб-сервера. в мире k8s, как бы я расшифровал звонки в кластер? новичок в этом, так что нужно понимать.

2

kubernetes kubernetes-security

Источник

user9182249 06 июн '18 в 08:07

1 ответ

Другие вопросы по тегам kubernetes kubernetes-security

user371954 06 июн '18 в 09:35 2018-06-06 09:35 · Answer 1 · 2018-06-06 09:35

Самого трафика и ключей сервера (api) для этого будет недостаточно. Текущая реализация TLS использует прямую секретность, поэтому вам также понадобятся ключи сеанса. Браузеры могут быть настроены на запись ключей сеанса (которые вы можете передать в wireshark), но я не знаю, можно ли настроить kubectl с некоторыми опциями отладки, чтобы сделать это. Возможно нет.

Альтернатива - человек в середине "атаки", который победит TLS с прямой секретностью. Я фиксирую трафик kubectl с помощью mitmproxy. Вам нужно будет настроить его с помощью kubernetes CA, поэтому сгенерированные сертификаты действительны для kubectl.

Конечно, все для учебных целей на тренировках;-)