컨테이너/K8s 진단 - Read-Only RootFS 미적용
점검 결과
| Pod/컨테이너 | RootFS | 평가 |
|---|
| app-prod | 읽기/쓰기 | 위험! |
| web-server | 읽기/쓰기 | 위험! |
| api-gateway | 읽기 전용 | 안전 |
RootFS 보안 분석
apiVersion: v1
kind: Pod
metadata:
name: app-prod
spec:
containers:
- name: app
image: app:latest
securityContext:
readOnlyRootFilesystem: true # 미설정 = false
runAsNonRoot: true
runAsUser: 1000
[미설정 시 문제]
- 컨테이너 내부 악성코드 설치 가능
- 시스템 라이브러리 변조 가능
- 백도어 생성 가능
- 권한 상승 도구 설치 가능
# 권장 설정 (읽기 전용)
securityContext:
readOnlyRootFilesystem: true
# 쓰기 필요시 emptyDir 사용
volumeMounts:
- name: tmp
mountPath: /tmp
- name: var-cache
mountPath: /var/cache
volumes:
- name: tmp
emptyDir: {}
- name: var-cache
emptyDir: {}
조치 가이드
- readOnlyRootFilesystem: true 설정: 모든 Pod에 적용
- emptyDir 마운트: 임시 쓰기 공간 제공
- 초기화 프로세스 검증: 이미지 빌드 시 검증