对应b站视频: CKS题目-Trivy扫描镜像漏洞
题目
Task
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。
环境搭建
下载trivy
https://github.com/aquasecurity/trivy/releases/tag/v0.34.0
安装
读者根据自己的操作系统版本安装即可,这里博主是centos7。
命令
rpm -ivh trivy_0.34.0_Linux-64bit.rpm
截图
创建命名空间和pod
命令
kubectl create ns kamino
kubectl run nginx --image=nginx -n kamino
kubectl run alpine --image=alpine:3.14 -n kamino
截图
解题
获取所有镜像
命令
kubectl get po -n kamino -o yaml | grep image:
截图
第一需要下载库(考试时不需要)
命令
trivy image -s "HIGH,CRITICAL" alphine:3.14
截图
之后添加–skip-update参数即可
命令
trivy image --skip-update -s "HIGH,CRITICAL" nginx:latest
结果
一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。
kubectl get pods -n kamino -o jsonpath='{range .items[\*]}{.metadata.name}{"\t"}{range .spec.containers[\*]}{.image}{"\n"}{end}{end}' | tr ' ' '\n' | sort -u | xargs -I {} trivy --skip-update --severity "HIGH,CRITICAL" {} | tee res.txt
删除pod命令
最后
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。
深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!
因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!
容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)
由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!