init

02-validation/02-security/disallow-dangerous-capabilities.yaml

@@ -0,0 +1,59 @@
+apiVersion: kyverno.io/v1
+kind: ClusterPolicy
+metadata:
+  name: disallow-dangerous-capabilities
+  annotations:
+    policies.kyverno.io/title: "Запрет опасных Linux Capabilities"
+    policies.kyverno.io/category: Pod Security Standards (Baseline)
+    policies.kyverno.io/severity: high
+    policies.kyverno.io/subject: Pod
+    policies.kyverno.io/description: >-
+      Запрещает добавление опасных Linux capabilities.
+      SYS_ADMIN, NET_ADMIN, SYS_PTRACE и другие дают контейнеру
+      привилегированный доступ к ядру и сети хоста.
+      Допустима только NET_BIND_SERVICE (порты < 1024).
+spec:
+  validationFailureAction: Enforce
+  background: true
+  rules:
+  - name: disallow-dangerous-capabilities
+    match:
+      resources:
+        kinds:
+        - Pod
+    exclude:
+      resources:
+        namespaces:
+        - kube-system
+    validate:
+      message: >-
+        Контейнер '{{ element.name }}' добавляет запрещённые capabilities:
+        {{ element.securityContext.capabilities.add }}.
+        Разрешена только NET_BIND_SERVICE.
+        Пересмотрите необходимость этих привилегий.
+      foreach:
+      - list: >-
+          request.object.spec.containers[] |
+          merge(request.object.spec.initContainers[] || `[]`, @)
+        deny:
+          conditions:
+            any:
+            - key: "{{ element.securityContext.capabilities.add[] }}"
+              operator: AnyIn
+              value:
+              - SYS_ADMIN
+              - NET_ADMIN
+              - SYS_PTRACE
+              - SYS_MODULE
+              - SYS_RAWIO
+              - SYS_BOOT
+              - SYS_NICE
+              - SYS_RESOURCE
+              - SYS_TIME
+              - AUDIT_CONTROL
+              - MAC_ADMIN
+              - MAC_OVERRIDE
+              - SETUID
+              - SETGID
+              - KILL
+              - MKNOD