2024年最全k8s学习-CKS真题-利用AppArmor进行应用行为限制_container(1)

最新推荐文章于 2024-06-30 10:58:22 发布
最新推荐文章于 2024-06-30 10:58:22 发布
阅读量207 收藏 3
点赞数 7
分类专栏: 程序员 文章标签: kubernetes 学习 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84301922/article/details/138403494
版权

题目

Task
在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。
编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。
最后,应用清单文件并创建其中指定的 Pod 。
请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。

环境搭建

  1. 安装AppArmor:

在CentOS系统中安装

yum install -y apparmor-utils

在Ubuntu系统中安装

apt-get install -y apparmor-utils

在这里插入图片描述

  1. 启动AppArmor:
systemctl start apparmor.service
  1. 检查AppArmor是否正在运行:
systemctl status apparmor.service
  1. 创建文件
vim /etc/apparmor.d/nginx_apparmor


#include <tunables/global>

profile nginx-profile-1 flags=(attach_disconnected) {
  #include <abstractions/base>

  file,

  # Deny all file writes.
  deny /** w,
}


mkdir -p /cks/KSSH00401/
vim /cks/KSSH00401/nginx-deploy.yaml


apiVersion: v1
kind: Pod
metadata:
  name: nginx-deploy
spec:
  containers:
  - name: nginx-deploy
    image: busybox
    command: ["sh","-c","echo 'Hello AppArmor!' && sleep 1h"]

附其他命令:
启用AppArmor:

systemctl enable apparmor.service

重新加载AppArmor:

apparmor_parser -r /etc/apparmor.d/*

解题

查看配置文件,加载配置文件,查看加载的配置中是否有对应profile
命令

cat /etc/apparmor.d/nginx_apparmor
apparmor_parser /etc/apparmor.d/nginx_apparmor


### 给大家的福利


**零基础入门**


对于从来没有接触过网络安全的同学,我们帮你准备了详细的学习成长路线图。可以说是最科学最系统的学习路线,大家跟着这个大的方向学习准没问题。


![](https://img-blog.csdnimg.cn/img_convert/95608e9062782d28f4f04f821405d99a.png)


同时每个成长路线对应的板块都有配套的视频提供:


![在这里插入图片描述](https://img-blog.csdnimg.cn/direct/a91b9e8100834e9291cfcf1695d8cd42.png#pic_center)


因篇幅有限,仅展示部分资料


网络安全面试题


![](https://img-blog.csdnimg.cn/img_convert/80674985176a4889f7bb130756893764.png)


绿盟护网行动


![](https://img-blog.csdnimg.cn/img_convert/9f3395407120bb0e1b5bf17bb6b6c743.png)


还有大家最喜欢的黑客技术


![](https://img-blog.csdnimg.cn/img_convert/5912337446dee53639406fead3d3f03c.jpeg)


**网络安全源码合集+工具包**


![](https://img-blog.csdnimg.cn/img_convert/5072ce807750c7ec721c2501c29cb7d5.png)


![](https://img-blog.csdnimg.cn/img_convert/4a5f4281817dc4613353c120c9543810.png)

**所有资料共282G**,朋友们如果有需要全套《网络安全入门+黑客进阶学习资源包》,可以扫描下方二维码领取(如遇扫码问题,可以在评论区留言领取哦)~




**网上学习资料一大堆,但如果学到的知识不成体系,遇到问题时只是浅尝辄止,不再深入研究,那么很难做到真正的技术提升。**

**[需要这份系统化资料的朋友,可以点击这里获取](https://bbs.csdn.net/topics/618540462)**


**一个人可以走的很快,但一群人才能走的更远!不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人,都欢迎加入我们的的圈子(技术交流、学习资源、职场吐槽、大厂内推、面试辅导),让我们一起学习成长!**
2401_84301922
关注
  • 7
    点赞
  • 3
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s-cks必备技能攻略
02-07
弹性伸缩(HPA)是指在K8s集群中根据应用负载情况自动伸缩应用实例数量的机制,可以根据CPU利用率、内存利用率、请求量等指标来调整应用实例数量。 容器调度原理: 容器调度原理是指在K8s集群中将容器调度到合适的...
k8s-CKS真题-CIS基准测试与安全扫描
关注网络安全、云原生安全
04-16 901
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
k8s学习-CKS真题-网络策略精细化控制
关注网络安全、云原生安全
03-04 1285
解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。创建products-service。
2024k8s学习-CKS真题-网络策略精细化控制_cks模拟题
2401_84253132的博客
05-01 174
创建products-service修改products-service.yamlpod打标签(default下的busybox-demo,请读者自行创建)
K8S认证】2023CKS考题-网络策略NetworkPolicy(解析+答案)
u014481728的博客
10-27 2164
K8S认证】2023CKS考题-网络策略NetworkPolicy(解析+答案)
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
关注网络安全、云原生安全
05-17 1279
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。
k8s学习-CKS真题-Dockerfile和deployment优化
关注网络安全、云原生安全
04-01 1095
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
K8S CKS 1.24 EXAM 练习备考必备 Kubernetes Security Specialist certification is a highly respected certification in the field of container orchestration and cloud computing. This certification aims to...
2024最新k8s-CKS真题-CIS基准测试与安全扫描_cis基准检测(1),2024最新手撕面试官
2401_84558914的博客
05-08 572
注意:尽可能使用 Webhook 身份验证/授权。
k8s学习-CKS真题-RoleBinding
关注网络安全、云原生安全
02-05 894
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
关注网络安全、云原生安全
04-22 1060
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。
k8s学习-CKS真题-利用AppArmor进行应用行为限制
关注网络安全、云原生安全
05-13 844
在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。查看配置文件,加载配置文件,查看加载的配置中是否有对应profile。最后,应用清单文件并创建其中指定的 Pod。
k8s-CKA-2022真题
大虾别跑
09-07 2995
CKA考试真题讲解
Kubernetes CKS 1.20 - 真题 (第1题)
#真题在线#
06-08 2910
2021CKS 1.20 考试题,总计15题, 欢迎大家探讨答案
Kubernetes安全专家认证 (CKS)考试动员
爱死亡机器人
01-08 5105
文章目录1. 要求2. 考点内容3. 需要掌握内容3.1 群集设置 10%3.2 群集强化 15%3.3 系统强化 15%3.4 最小化微服务漏洞 20%3.5 供应链安全 20%3.6 监控、审计和runtime 20%4. 考试资料 1. 要求 考试模式:线上考试 考试时间:2小时 认证有效期:2 软件版本:Kubernetes v1.19 系统:Ubuntu 18.4 有效期:考试资格自购买之日起12个月内有效 重考政策:可接受1次重考 经验水平:中级 2. 考点内容 集群安装:10% 使用网..
K8S 集群节点缩容
最新发布
weixin_67050107的博客
06-30 837
k8s 节点缩容

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值