写在最后
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。
需要完整版PDF学习资源私我
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!
一.Kubernetes安全控制介绍
1.客户端认证操作
两者最终都是面向kubernetes的
(1)user account
单独位于kubernetes外的用户账号
(2)service account
kubernetes管理账号,为pod中的服务进程在访问kubernete时提供身份标识
2.访问对象资源依次流程
(1)Authentication认证
所有请求都要经过apiserver,这里进行身份认证,只认准正确的账号
(2)Authorization
账号认证通过后进行资源权限判定,授权发生在认证成功之后,这时候就知道请求用户是谁, Kubernetes就会根据事先定义的授权策略来决定用户是否有权限访问。请求报文一般包含这些内容,请求的用户、请求的路径、请求的动作等,kubernetes将这些内容与事先定义好的策略比对,如果符合策略,则认为授权通过,否则会错误。
(3)Admission Control
准入控制,实现更加精细的访问控制
二.授权管理介绍
我是以kubeadm安装的kubernetes,主要是用到rbac的角色访问控制。
实际上apiserver支持至少六种授权策略:
1.AlwaysDeny
表示拒绝所有请求,通常不使用哈
2.AlwaysAllow
默认的策略,允许接收所有请求,就相当于没进行权限控制
3.ABAC
表示使用用户配置的授权规则对用户请求进行匹配和控制(基于用户属性)
4.Webhook
引用外部REST服务对用户进行授权管理
5.Node
用于对kubelet发出的请求进行访问控制,比较特殊的一种模式
6.RBAC
基于角色访问控制,一般是需要账号等
三.Role解释
理解为哪些对象拥有哪些权限,如下介绍RBAC的四个顶级资源对象(Role、Rolebinding、ClusterRole、ClusterRoleBinding)
1.Role和ClusterRole
角色,可以为角色指定一组权限,指定什么权限该角色就拥有什么权限,一个角色一组权限
(1)Role,是对指定的命名空间的资源进行权限配置,是需要指定名称空间的
#rule中的参数用来对授权进行配置
rules:
- apiGroups: [""] #支持的API组列表,"" 空字符串,表示核心API群
resources: ["pods"] #支持的资源对象列表
verbs: ["get", "watch", "list"] #允许的对资源对象的操作方法列表
(2)ClusterRole,是对整个集群范围内资源(不仅仅限于具体某个名称空间)、非资源类型等进行授权配置
2.Rolebinding和ClusterBinding
角色绑定,将角色绑定给目标对象,那么目标对象就会拥有该角色的权限
(1)Rolebinding,是将Role和目标对象进行绑定,可以是User、Group和ServiceAccount
# RoleBinding可以将同一namespace中的subject绑定到某个Role下,subject内的对象就会拥有role的权限
subjects:
- kind: User
name: username
apiGroup: rbac.authorization.k8s.io
roleRef:
kind: Role
name: 定义的的role的名称
apiGroup: rbac.authorization.k8s.io
(2)ClusterRoleBinding,ClusterRoleBinding在整个集群级别的特定的subject与ClusterRole绑定,授予subject内目标权限,用法和Rolebinding一致
3.Rolebinding和ClusterRole
(1)可以将ClusterRole把通过RoleBinding绑定给目标对象,但是由于此时是使用Rolebinding方式,所以ClusterRole此时的作用范围也被局限在特定的namespace中。
(2)集群管理员会在集群范围内预先定义一组通用的角色(ClusterRole),然后在多个命名空间中重复使用这些 ClusterRole,好处是:
通过预定义一组通用的 ClusterRole,可以避免在每个命名空间中都重新定义相同的权限规则,从而节省时间和精力。
使用相同的 ClusterRole 在不同的命名空间中授权,可以确保各个命名空间下的基础授权规则保持一致,简化了权限管理并提供一致的用户体验。
当需要更新权限规则时,只需修改预定义的 ClusterRole,所有引用该 ClusterRole 的 RoleBinding 将自动应用新的权限规则,避免了在每个命名空间中手动更新权限规则的繁琐过程。
四.准入控制
用户的权限请求时要通过准入控制后最后才会被apiserver去判断是否处理,通过则继续处理,否则驳回请求
1.命令格式
--admission-control=配置的控制器列表,多个参数用“,”隔开
2.可配置控制器
参数 | 含义 |
---|---|
AlwaysAdmit | 允许所有请求 |
AlwaysDeny | 禁止所有请求,通常不用哈 |
AlwaysPullImages | 在启动容器之前总去下载镜像 |
DenyExecOnPrivileged | 拦截所有想在Privileged Container上执行命令的请求 |
ImagePolicyWebhook | 一个插件,将允许后端的一个Webhook程序来完成admission controller的功能 |
Service Account | 实现ServiceAccount,自动化 |
SecurityContextDeny | 一个插件,将使用SecurityContext的Pod中的定义全部失效 |
ResourceQuota | 用于资源配额管理,观察所有请求,确保在namespace上的配额不会超标 |
LimitRanger | 用于资源限制管理,作用于namespace上,确保对Pod进行资源限制 |
InitialResources | 为未设置资源请求与限制的Pod,根据其镜像的历史资源的使用情况进行设置 |
NamespaceLifecycle | 如果尝试在一个不存在的namespace中创建资源对象,则该创建请求将被拒绝。当删除一个namespace时,系统将会删除该namespace中所有对象。 |
DefaultStorageClass | 为了实现共享存储的动态供应,为未指定StorageClass或PV的PVC尝试匹配默认的StorageClass,尽可能减少用户在申请PVC时所需了解的后端存储细节 |
DefaultTolerationSeconds | 一个插件,为那些没有设置forgiveness tolerations并具有notready:NoExecute和unreachable:NoExecute两种taints的Pod设置默认的“容忍”时间,为5min |
PodSecurityPolicy | 一个插件,用于在创建或修改Pod时决定是否根据Pod的security context和可用的PodSecurityPolicy对Pod的安全策略进行控制 |
五.例子
配置一个sulibao用户,限制其只能对ns-sulibao名称空间内的pod进行get, watch, list三个行为
1.生成签署证书
如何自学黑客&网络安全
黑客零基础入门学习路线&规划
初级黑客
1、网络安全理论知识(2天)
①了解行业相关背景,前景,确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。(非常重要)
2、渗透测试基础(一周)
①渗透测试的流程、分类、标准
②信息收集技术:主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理,利用方法、工具(MSF)、绕过IDS和反病毒侦察
④主机攻防演练:MS17-010、MS08-067、MS10-046、MS12-20等
3、操作系统基础(一周)
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全(系统入侵排查/系统加固基础)
4、计算机网络基础(一周)
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析(HTTP、TCP/IP、ARP等)
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御:主动/被动攻击、DDOS攻击、CVE漏洞复现
5、数据库基础操作(2天)
①数据库基础
②SQL语言基础
③数据库安全加固
6、Web渗透(1周)
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具:Nmap、BurpSuite、SQLMap、其他(菜刀、漏扫等)
恭喜你,如果学到这里,你基本可以从事一份网络安全相关的工作,比如渗透测试、Web 渗透、安全服务、安全分析等岗位;如果等保模块学的好,还可以从事等保工程师。薪资区间6k-15k
到此为止,大概1个月的时间。你已经成为了一名“脚本小子”。那么你还想往下探索吗?
如果你想要入坑黑客&网络安全,笔者给大家准备了一份:282G全网最全的网络安全资料包评论区留言即可领取!
7、脚本编程(初级/中级/高级)
在网络安全领域。是否具备编程能力是“脚本小子”和真正黑客的本质区别。在实际的渗透测试过程中,面对复杂多变的网络环境,当常用工具不能满足实际需求的时候,往往需要对现有工具进行扩展,或者编写符合我们要求的工具、自动化脚本,这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中,想要高效地使用自制的脚本工具来实现各种目的,更是需要拥有编程能力.
如果你零基础入门,笔者建议选择脚本语言Python/PHP/Go/Java中的一种,对常用库进行编程学习;搭建开发环境和选择IDE,PHP环境推荐Wamp和XAMPP, IDE强烈推荐Sublime;·Python编程学习,学习内容包含:语法、正则、文件、 网络、多线程等常用库,推荐《Python核心编程》,不要看完;·用Python编写漏洞的exp,然后写一个简单的网络爬虫;·PHP基本语法学习并书写一个简单的博客系统;熟悉MVC架构,并试着学习一个PHP框架或者Python框架 (可选);·了解Bootstrap的布局或者CSS。
8、超级黑客
这部分内容对零基础的同学来说还比较遥远,就不展开细说了,附上学习路线。
网络安全工程师企业级学习路线
如图片过大被平台压缩导致看不清的话,评论区点赞和评论区留言获取吧。我都会回复的
视频配套资料&国内外网安书籍、文档&工具
当然除了有配套的视频,同时也为大家整理了各种文档和书籍资料&工具,并且已经帮大家分好类了。
一些笔者自己买的、其他平台白嫖不到的视频教程。
网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。
一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!