k8s安全控制、授权管理介绍，2024年最新2024年网络安全面试题

最新推荐文章于 2024-06-03 22:54:43 发布

2401_83739472

最新推荐文章于 2024-06-03 22:54:43 发布

阅读量1k

点赞数 15

分类专栏： 2024年程序员学习文章标签： kubernetes web安全网络

本文链接：https://blog.csdn.net/2401_83739472/article/details/137764435

版权

2024年程序员学习专栏收录该内容

294 篇文章 0 订阅

订阅专栏

先自我介绍一下，小编浙江大学毕业，去过华为、字节跳动等大厂，目前阿里P7

深知大多数程序员，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年最新网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较多，这里只是将部分目录截图出来，全套包含大厂面经、学习笔记、源码讲义、实战项目、大纲路线、讲解视频，并且后续会持续更新

如果你需要这些资料，可以添加V获取：vip204888 （备注网络安全）

正文

表示拒绝所有请求，通常不使用哈

2.AlwaysAllow

默认的策略，允许接收所有请求，就相当于没进行权限控制

3.ABAC

表示使用用户配置的授权规则对用户请求进行匹配和控制（基于用户属性）

4.Webhook

引用外部REST服务对用户进行授权管理

5.Node

用于对kubelet发出的请求进行访问控制，比较特殊的一种模式

6.RBAC

基于角色访问控制，一般是需要账号等

三.Role解释

理解为哪些对象拥有哪些权限，如下介绍RBAC的四个顶级资源对象（Role、Rolebinding、ClusterRole、ClusterRoleBinding）

1.Role和ClusterRole

角色，可以为角色指定一组权限，指定什么权限该角色就拥有什么权限，一个角色一组权限

（1）Role，是对指定的命名空间的资源进行权限配置，是需要指定名称空间的

#rule中的参数用来对授权进行配置
rules:
- apiGroups: [""]  #支持的API组列表,"" 空字符串，表示核心API群
  resources: ["pods"]  #支持的资源对象列表
  verbs: ["get", "watch", "list"]  #允许的对资源对象的操作方法列表

（2）ClusterRole，是对整个集群范围内资源（不仅仅限于具体某个名称空间）、非资源类型等进行授权配置

2.Rolebinding和ClusterBinding

角色绑定，将角色绑定给目标对象，那么目标对象就会拥有该角色的权限

（1）Rolebinding，是将Role和目标对象进行绑定，可以是User、Group和ServiceAccount

# RoleBinding可以将同一namespace中的subject绑定到某个Role下，subject内的对象就会拥有role的权限

subjects:
- kind: User
  name: username
apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: 定义的的role的名称
  apiGroup: rbac.authorization.k8s.io

（2）ClusterRoleBinding，ClusterRoleBinding在整个集群级别的特定的subject与ClusterRole绑定，授予subject内目标权限，用法和Rolebinding一致

3.Rolebinding和ClusterRole

（1）可以将ClusterRole把通过RoleBinding绑定给目标对象，但是由于此时是使用Rolebinding方式，所以ClusterRole此时的作用范围也被局限在特定的namespace中。

（2）集群管理员会在集群范围内预先定义一组通用的角色（ClusterRole），然后在多个命名空间中重复使用这些 ClusterRole，好处是：

通过预定义一组通用的 ClusterRole，可以避免在每个命名空间中都重新定义相同的权限规则，从而节省时间和精力。

使用相同的 ClusterRole 在不同的命名空间中授权，可以确保各个命名空间下的基础授权规则保持一致，简化了权限管理并提供一致的用户体验。

当需要更新权限规则时，只需修改预定义的 ClusterRole，所有引用该 ClusterRole 的 RoleBinding 将自动应用新的权限规则，避免了在每个命名空间中手动更新权限规则的繁琐过程。

四.准入控制

用户的权限请求时要通过准入控制后最后才会被apiserver去判断是否处理，通过则继续处理，否则驳回请求

1.命令格式

--admission-control=配置的控制器列表，多个参数用“,”隔开

2.可配置控制器

参数	含义
AlwaysAdmit	允许所有请求
AlwaysDeny	禁止所有请求，通常不用哈
AlwaysPullImages	在启动容器之前总去下载镜像
DenyExecOnPrivileged	拦截所有想在Privileged Container上执行命令的请求
ImagePolicyWebhook	一个插件，将允许后端的一个Webhook程序来完成admission controller的功能
Service Account	实现ServiceAccount，自动化
SecurityContextDeny	一个插件，将使用SecurityContext的Pod中的定义全部失效
ResourceQuota	用于资源配额管理，观察所有请求，确保在namespace上的配额不会超标
LimitRanger	用于资源限制管理，作用于namespace上，确保对Pod进行资源限制
InitialResources	为未设置资源请求与限制的Pod，根据其镜像的历史资源的使用情况进行设置
NamespaceLifecycle	如果尝试在一个不存在的namespace中创建资源对象，则该创建请求将被拒绝。当删除一个namespace时，系统将会删除该namespace中所有对象。
DefaultStorageClass	为了实现共享存储的动态供应，为未指定StorageClass或PV的PVC尝试匹配默认的StorageClass，尽可能减少用户在申请PVC时所需了解的后端存储细节
DefaultTolerationSeconds	一个插件，为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间，为5min
PodSecurityPolicy	一个插件，用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制

五.例子

配置一个sulibao用户，限制其只能对ns-sulibao名称空间内的pod进行get, watch, list三个行为

1.生成签署证书

[root@k8s-master ~]# cd /etc/kubernetes/pki/
[root@k8s-master pki]# (umask 077; openssl genrsa -out sulibao.key 2048)    #生成.key，在当前生效
Generating RSA private key, 2048 bit long modulus
............................+++
...........................................................+++
e is 65537 (0x10001)
[root@k8s-master pki]# openssl req -new -key sulibao.key -out sulibao.csr -subj "/CN=sulibao/O=sulibao"
#生成.csr，用sulibao用户和组进行签署
[root@k8s-master pki]# ll
total 64
-rw-r--r-- 1 root root 1285 Mar  9 11:24 apiserver.crt
-rw-r--r-- 1 root root 1155 Mar  9 11:24 apiserver-etcd-client.crt
-rw------- 1 root root 1679 Mar  9 11:24 apiserver-etcd-client.key
-rw------- 1 root root 1679 Mar  9 11:24 apiserver.key
-rw-r--r-- 1 root root 1164 Mar  9 11:24 apiserver-kubelet-client.crt
-rw------- 1 root root 1675 Mar  9 11:24 apiserver-kubelet-client.key
-rw-r--r-- 1 root root 1107 Mar  9 11:24 ca.crt
-rw------- 1 root root 1675 Mar  9 11:24 ca.key
drwxr-xr-x 2 root root  162 Mar  9 11:24 etcd
-rw-r--r-- 1 root root 1123 Mar  9 11:24 front-proxy-ca.crt
-rw------- 1 root root 1679 Mar  9 11:24 front-proxy-ca.key
-rw-r--r-- 1 root root 1119 Mar  9 11:24 front-proxy-client.crt
-rw------- 1 root root 1675 Mar  9 11:24 front-proxy-client.key
-rw------- 1 root root 1679 Mar  9 11:24 sa.key
-rw------- 1 root root  451 Mar  9 11:24 sa.pub
-rw-r--r-- 1 root root  911 Mar  9 19:32 sulibao.csr
-rw------- 1 root root 1679 Mar  9 19:31 sulibao.key
#用apiserver证书签署
[root@k8s-master pki]# openssl x509 -req -in sulibao.csr -CA ca.crt -CAkey ca.key -CAcreateserial -out sulibao.csr -days 3650
#生成
Signature ok
subject=/CN=sulibao/O=sulibao
Getting CA Private Key
[root@k8s-master pki]# kubectl config set-cluster kubernetes --embed-certs=true --certificate-authority=/etc/kubernetes/pki/ca.crt --server=https://192.168.2.150:6443
Cluster "kubernetes" set.

2.设置用户和上下文信息

[root@k8s-master pki]# kubectl config set-credentials sulibao --embed-certs=true --client-certificate=/etc/kubernetes/pki/sulibao.csr --client-key=/etc/kubernetes/pki/sulibao.key 
User "sulibao" set.

[root@k8s-master pki]# kubectl config set-context sulibao@kubernetes --cluster=kubernetes --user=sulibao
Context "sulibao@kubernetes" created.

[root@k8s-master pki]# kubectl config use-context sulibao@kubernetes
Switched to context "sulibao@kubernetes".
#当前无权限
[root@k8s-master pki]# kubectl get pods -n ns-sulibao
Error from server (Forbidden): pods is forbidden: User "sulibao" cannot list resource "pods" in API group "" in the namespace "ns-sulibao"

[root@k8s-master pki]# kubectl config use-context kubernetes-admin@kubernetes 
Switched to context "kubernetes-admin@kubernetes".

3.为sulibao用户授权

[root@k8s-master pki]# vim role.yaml
apiVersion: v1
kind: Namespace
metadata:
  name: ns-sulibao

---

apiVersion: rbac.authorization.k8s.io/v1
kind: Role
metadata:
  namespace: ns-sulibao
  name: ns-sulibao-role
rules:
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["get", "watch", "list"]

---

apiVersion: rbac.authorization.k8s.io/v1
kind: RoleBinding
metadata:
  name: authorization-role-binding
  namespace: ns-sulibao
subjects:
- kind: User
  name: sulibao
  apiGroup: rbac.authorization.k8s.io
roleRef:
  kind: Role
  name: ns-sulibao-role
  apiGroup: rbac.authorization.k8s.io

[root@k8s-master pki]# kubectl apply -f role.yaml 
namespace/ns-sulibao created
role.rbac.authorization.k8s.io/ns-sulibao-role created


### 如何自学黑客&网络安全


#### 黑客零基础入门学习路线&规划


**初级黑客**  
 **1、网络安全理论知识（2天）**  
 ①了解行业相关背景，前景，确定发展方向。  
 ②学习网络安全相关法律法规。  
 ③网络安全运营的概念。  
 ④等保简介、等保规定、流程和规范。（非常重要）


**2、渗透测试基础（一周）**  
 ①渗透测试的流程、分类、标准  
 ②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking  
 ③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察  
 ④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等


**3、操作系统基础（一周）**  
 ①Windows系统常见功能和命令  
 ②Kali Linux系统常见功能和命令  
 ③操作系统安全（系统入侵排查/系统加固基础）


**4、计算机网络基础（一周）**  
 ①计算机网络基础、协议和架构  
 ②网络通信原理、OSI模型、数据转发流程  
 ③常见协议解析（HTTP、TCP/IP、ARP等）  
 ④网络攻击技术与网络安全防御技术  
 ⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现


**5、数据库基础操作（2天）**  
 ①数据库基础  
 ②SQL语言基础  
 ③数据库安全加固


**6、Web渗透（1周）**  
 ①HTML、CSS和JavaScript简介  
 ②OWASP Top10  
 ③Web漏洞扫描工具  
 ④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）  
 恭喜你，如果学到这里，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web 渗透、安全服务、安全分析等岗位；如果等保模块学的好，还可以从事等保工程师。薪资区间6k-15k


到此为止，大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗？


如果你想要入坑黑客&网络安全，笔者给大家准备了一份：282G全网最全的网络安全资料包评论区留言即可领取！


**7、脚本编程（初级/中级/高级）**  
 在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力.


如果你零基础入门，笔者建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习；搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP， IDE强烈推荐Sublime；·Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，不要看完；·用Python编写漏洞的exp,然后写一个简单的网络爬虫；·PHP基本语法学习并书写一个简单的博客系统；熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)；·了解Bootstrap的布局或者CSS。

**8、超级黑客**  
 这部分内容对零基础的同学来说还比较遥远，就不展开细说了，附上学习路线。  
 ![img](https://img-blog.csdnimg.cn/img_convert/3fd39c2ba8ec22649979f245f4221608.webp?x-oss-process=image/format,png)


#### 网络安全工程师企业级学习路线


![img](https://img-blog.csdnimg.cn/img_convert/931ac5ac21a22d230645ccf767358997.webp?x-oss-process=image/format,png)  
 如图片过大被平台压缩导致看不清的话，评论区点赞和评论区留言获取吧。我都会回复的


视频配套资料&国内外网安书籍、文档&工具


当然除了有配套的视频，同时也为大家整理了各种文档和书籍资料&工具，并且已经帮大家分好类了。

![img](https://img-blog.csdnimg.cn/img_convert/153b2778a3fe5198265bed9635d63469.webp?x-oss-process=image/format,png)  
 一些笔者自己买的、其他平台白嫖不到的视频教程。  
 ![img](https://img-blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-process=image/format,png)





**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
![img](https://img-blog.csdnimg.cn/img_convert/312fbc42af3419747c3e091c79dcb791.png)

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

g-blog.csdnimg.cn/img_convert/32eb4b22aa740233c5198d3c161b37e8.webp?x-oss-process=image/format,png)





**网上学习资料一大堆，但如果学到的知识不成体系，遇到问题时只是浅尝辄止，不再深入研究，那么很难做到真正的技术提升。**

**需要这份系统化的资料的朋友，可以添加V获取：vip204888 （备注网络安全）**
[外链图片转存中...(img-DUXFKpLT-1713140955752)]

**一个人可以走的很快，但一群人才能走的更远！不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！**

2401_83739472

关注

15
点赞
踩
14

收藏

觉得还不错? 一键收藏
0
评论
k8s安全控制、授权管理介绍，2024年最新2024年网络安全面试题

（2）ClusterRoleBinding，ClusterRoleBinding在整个集群级别的特定的subject与ClusterRole绑定，授予subject内目标权限，用法和Rolebinding一致。当需要更新权限规则时，只需修改预定义的 ClusterRole，所有引用该 ClusterRole 的 RoleBinding 将自动应用新的权限规则，避免了在每个命名空间中手动更新权限规则的繁琐过程。（1）Role，是对指定的命名空间的资源进行权限配置，是需要指定名称空间的。
复制链接

扫一扫