我想为用户提供特定的 RBAC,以便他可以创建 NIC 但不能修改. 事实上,目的是让他没有权限将动态ip更改为静态ip并更改网卡的ip地址。
我检查了NIC的 RBAC ,但似乎如果他有Microsoft.Network/networkInterfaces/write权限,他可以创建网络接口或更新现有的网络接口。所以这个 Rbac 没有我想要的那么详细。
我也尝试过授予所有权限,但没有Microsoft.Network/networkInterfaces/read。在这种情况下,可以创建网卡,但我既看不到网卡的 ip,也看不到虚拟机的 ssh/rdp。所以这对我来说不是一个解决方案。
我检查了内置的 Azure 策略,但没有什么能满足我的需求。
任何想法?
我们收到了针对我们的 Azure SQL 数据库之一的安全建议。我是订阅的所有者,可以在 Azure SQL 安全中心查看这些建议。我想将解决方案委托给资源组贡献者之一,但他们没有看到相同的建议。
Azure 资源组参与者需要哪些额外权限才能查看/接受/修复来自该资源组中 Azure SQL 的警报?
我很困惑。kubectl 说我可以(通过kubectl auth can-i子命令),但是当我去执行操作时,我不能。
我已经安装kubectl在一个 docker 镜像上,该镜像运行在一个由Deployment. 当我kubectl exec -it进入那个 pod(只有一个容器)时,我得到了这个。
user@my-pod:~$ kubectl auth can-i get secrets -n myNamespace
yes
user@my-pod:~$ kubectl get secrets -n myNamespace
Error from server (Forbidden):
secrets is forbidden:
User "system:serviceaccount:myNamespace:myServiceAccount"
cannot list resource "secrets" in API group "" in the namespace "myNamespace"
这是我的服务帐户的配置方式
---
apiVersion: v1
kind: ServiceAccount
metadata:
name: myServiceAccount
namespace: myNamespace
---
kind: Role
apiVersion: rbac.authorization.k8s.io/v1
metadata:
name: myRole
namespace: myNamespace
rules:
- apiGroups: [""]
resources: ["secrets"]
verbs: ["get", "describe"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
name: myRoleBinding
namespace: myNamespace
roleRef:
apiGroup: rbac.authorization.k8s.io
kind: Role
name: myRole
subjects:
- kind: ServiceAccount
name: myServiceAccount
namespace: myNamespace
我首先很想知道我是否使用kubectl auth can-i不正确。
其次,我希望能够授权此服务帐户进行此 API 调用。我的 yaml 中是否存在错误配置?
我在 Debian 8 上有一个相当奇怪的问题sudo。用户无法在/etc/sudoers.d. 我使用 Chef 来分发配置,因此所有文件都是自动生成的。
例子:
此配置工作正常
root@server:~# cat /etc/sudoers.d/nginx
# This file is managed by Chef.
# Do NOT modify this file directly.
user ALL=(root) NOPASSWD:/usr/sbin/nginx
这失败了:
root@server:~# cat /etc/sudoers.d/update-rc.d
# This file is managed by Chef.
# Do NOT modify this file directly.
user ALL=(root) NOPASSWD:/usr/sbin/update-rc.d
user@www42:~$ sudo update-rc.d
[sudo] password for user:
Sorry, user user is not allowed to execute '/usr/sbin/update-rc.d' as root on server.
有什么问题?
诊断:
Mar 5 12:12:51 server sudo: user : command not allowed ; TTY=pts/0 ; PWD=/home/user ; USER=root ; COMMAND=/usr/sbin/update-rc.d
Mar 5 12:14:25 www42 su[1209]: pam_unix(su:session): session closed for user user
root@server:~# sudo --version
Sudo version 1.8.10p3
Configure options: --prefix=/usr -v --with-all-insults --with-pam --with-fqdn --with-logging=syslog --with-logfac=authpriv --with-env-editor --with-editor=/usr/bin/editor --with-timeout=15 --with-password-timeout=0 --with-passprompt=[sudo] password for %p: --disable-root-mailer --with-sendmail=/usr/sbin/sendmail --with-rundir=/var/lib/sudo --mandir=/usr/share/man --libexecdir=/usr/lib/sudo --with-sssd --with-sssd-lib=/usr/lib/x86_64-linux-gnu --with-selinux --with-linux-audit
Sudoers policy plugin version 1.8.10p3
Sudoers file grammar version 43
我使用 Glassfish Stack 来管理应用程序。我在 CentOS 上以非 root 用户运行 Glassfish。因此我无法打开 80 端口,因为 1024 下的端口只能由 root 用户访问。
有一种解决方案可以在基于角色的访问控制 (rbac) 系统中向运行 glassfish 服务器的用户添加权限:
/usr/sbin/usermod -K defaultpriv=basic,net_privaddr *glassfish*
在 CentOS 中,usermod命令不包含用于更改默认权限的 -K 选项。但是,CentOS 支持 RBAC(据我所知)。是否有任何解决方案可以让简单的用户访问 1024 端口下的网络监听?
我可以使用 Aix 6.1 上的 RBAC 功能来执行以下操作吗?
文件 - myfile.txt
我有用户 - root , aixuser(非 root)。
我只希望 aixuser 可以访问文件 'myfile.txt' 而不是 root 用户。
这可以在 aix 6.1 上使用 RBAC 完成吗?