HOME
Lv039

「Lv039」の記事一覧

Pod Security Admission (PSA) は、以前のPod Security Policy (PSP) と比較して、どのようなアーキテクチャ上の違いがあるか。

PSAはAdmission Controllerとして実装され、CRDを使用せず

2026年1月24日

特権コンテナ（Privileged Container）内で `/sys` ファイルシステムがマウントされている場合、攻撃者は何ができるか。

ホストのカーネル/ハード設定を変更し制御奪取可

2026年1月24日

Kubeletの `authenticationTokenWebhook` を有効にすると、KubeletはBearer Tokenを受け取った際に何を検証するか。

TokenReview APIを使用してAPIサーバーにトークンの有効性を問い合わせる

2026年1月24日

`etcd` の通信において、`–peer-cert-file` と `–peer-key-file` が設定されていない場合のリスクはどれか。

etcdクラスタメンバー間の通信が暗号化されず、認証も行われない

2026年1月24日

NetworkPolicyで、特定のPodに対して `Ingress` ポリシーのみを適用し、`Egress` ポリシーを適用しない場合、Egress通信（外向き）はどうなるか。

制限されず、すべてのEgress通信が許可される

2026年1月24日

Falcoがシステムコールを検知できないケースとして、メモリマップされたファイル（mmap）への書き込みがある。これを検知するのが難しい理由はどれか。

mmapによる書き込みはシステムコールを発行せず、メモリ操作として処理される

2026年1月24日

RBACにおいて、特定のユーザーが「全てのServiceAccount」になりすます（Impersonate）ことができる権限を与える、危険なClusterRoleの定義はどれか。

resources: ["serviceaccounts"], verbs:

2026年1月24日

ImagePolicyWebhookの設定ファイル（kubeconf）において、`defaultAllow` パラメータは何を意味するか。

Webhookサーバーへの接続に失敗した場合などに

2026年1月24日

Linuxの `chmod` コマンドで、ディレクトリにスティッキービット（Sticky Bit）を設定する（例: `chmod +t /tmp`）主なセキュリティ上の理由はどれか。

ディレクトリ内のファイルは、ファイルの所有者しか削除・リネームできなくなり

2026年1月24日

kube-apiserverの `–audit-log-maxbackup` フラグは何を制御するか。

--audit-log-maxbackupフラグは保持する古い監査ログファイルの最大数

2026年1月24日