Kubernetes im Einsatz? Prüft die Konfiguration der etcd-Datenbank!

Ich mache es mal kompakt: Falls jemand von euch Kubernetes zur Verwaltung von (Docker) Containern administriert, sollte er weiterlesen. Auch Administratoren von anderen Sofware-Konstellationen bei denen die von CoreOS entwickelte etcd-Datenbank verwendet wird, sollten weiter lesen.

Problem: etcd läuft default ohne Authentifizierung

Das etcd-Paket mit der Datenbank wird aus Kompatibilitätsgründen mit deaktivierter Authentifizierung ausgeliefert. Speichert man in dieser Datenbank aber kritische Informationen (und das ist schnell passiert), können unbefugte Dritte die etcd-Datenbank per JSON auslesen und auf die betreffenden Informationen zugreifen.

Bei Kubernetes ist das besonders nett, da die Nodes (Minions), auf denen dann die Docker-Container ausgeführt werden, über die etcd-Datenbank verwaltet werden. Eine Suche mit Shodan zeigt, dass tausende Server etcd-Datenbanken offen im Internet bereitstellen.

Wenn es nun geklingelt hat (und nicht nur Bahnhof verstanden wurde), dürfte das Thema wohl für den betreffenden Leser interessant sein. Dann gibt es in meinem Blog-Beitrag Tausende etcd-Server leaken Passwörter und Keys weitere Details.