k8s学习-CKS真题-Trivy扫描镜像安全漏洞_使用trivy镜像扫描

于 2024-05-12 16:32:49 发布
阅读量738 收藏 19
点赞数 12
分类专栏: 程序员 文章标签: kubernetes 学习 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/2401_84971649/article/details/138759050
版权

对应b站视频: CKS题目-Trivy扫描镜像漏洞

题目

Task
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。

环境搭建

下载trivy

https://github.com/aquasecurity/trivy/releases/tag/v0.34.0

安装
读者根据自己的操作系统版本安装即可,这里博主是centos7。
命令

rpm -ivh trivy_0.34.0_Linux-64bit.rpm

截图
在这里插入图片描述
创建命名空间和pod
命令

kubectl create ns kamino
kubectl run nginx --image=nginx -n kamino
kubectl run alpine --image=alpine:3.14 -n kamino

截图
在这里插入图片描述

解题

获取所有镜像
命令

kubectl get po -n kamino -o yaml | grep image:

截图
在这里插入图片描述
第一需要下载库(考试时不需要)
命令

trivy image -s "HIGH,CRITICAL" alphine:3.14

截图
在这里插入图片描述
之后添加–skip-update参数即可
命令

trivy image --skip-update -s "HIGH,CRITICAL" nginx:latest

结果
在这里插入图片描述
一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。
在这里插入图片描述

kubectl get pods -n kamino -o jsonpath='{range .items[\*]}{.metadata.name}{"\t"}{range .spec.containers[\*]}{.image}{"\n"}{end}{end}' | tr ' ' '\n' | sort -u | xargs -I {} trivy --skip-update --severity "HIGH,CRITICAL" {} | tee res.txt

删除pod命令

最后

自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。

深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!

因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。

img

img

img

img

img

既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!

如果你觉得这些内容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

容对你有帮助,需要这份全套学习资料的朋友可以戳我获取!!**](https://bbs.csdn.net/topics/618653875)

由于文件比较大,这里只是将部分目录截图出来,每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频,并且会持续更新!

2401_84971649
关注
  • 12
    点赞
  • 19
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
集群scan_扫描k8s集群中的漏洞
weixin_29927289的博客
01-14 669
Kubei是一个漏洞扫描和CIS Docker基准测试工具,它能够对kubernetes集群进行准确,即时的风险评估。Kubei扫描Kubernetes集群中正在使用的所有图像,包括应用程序Pod和系统Pod的镜像。它不会扫描整个镜像注册表,也不需要与CI / CD进行初步集成。它是一种可配置的工具,可以定义扫描范围(目标名称空间),速度和关注的漏洞级别,还提供了图形用户界面。安装要求:...
K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描
jasonhe2018的博客
01-22 556
K8S-Demo集群实践:搭建镜像仓库Harbor+安全扫描一、安装Docker-compose1、下载docker-compose2、查看docker-compose版本号二、安装harbor1、下载并解压到/usr/local/目录下2、修改配置3、安装三、访问测试四、添加镜像扫描器参考 用VMware创建一台虚拟机,安装CentOS7.9,4C/4G 安装Docker-compose,要先装Docker,参见准备VMware虚拟机模板 一、安装Docker-compose 1、下载docker-c
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
关注网络安全、云原生安全
04-16 1071
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
CKS镜像漏洞扫描工具:Trivy
DwanCloud
03-26 923
Trivy是一款用于扫描容器镜像、文件系统、Git仓库等的漏洞扫描工具它可以发现目标软件存在的漏洞、配置错误、敏感信息等安全问题Trivy易于安装和使用,可与CI系统集成。
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1091
生产环境中的 k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 609
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s-cks必备技能攻略
02-07
K8s-CKS必备技能攻略 K8s框架介绍: K8s框架是由三个紧密协作的独立组件组合而成的,它们分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager。整个集群的...
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
5. **镜像安全**:容器镜像的签名、验证和安全扫描,以防止恶意软件的引入。 6. **资源控制**:限制和配额(Resource Quotas)的设置,确保集群资源的合理分配和使用。 7. **审计与监控**:Kubernetes审计日志的...
镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!
Docker公司
03-02 1000
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面上个月 Docker 企业版(EE)容器平台的测试发行版集成了可以与 Swarm 并存运行的 Kubernetes 编排,从而提供了统一的平台来支持传统和新的应用程序在本地或云端中运行。对于正在探索 Kubernetes 或正在将 Kubernetes 部署到生产环境的组织来说,Docke
CKS】考试之 Trivy 镜像扫描
sinat_33076015的博客
09-07 241
切换 Context 后, ssh 到对应的 master 节点。
CKS1.23 考试题整理(10)-Trivy扫描镜像安全漏洞
april_4的博客
04-19 985
题目 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像的Pod。 参考 kubectl 备忘单 | Kubernetes 解答 获取所有namespace下的pod kubectl get pods --namespace kamino --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.container
综合扫描 -- K8scan
weixin_41489908的博客
01-29 1063
你学不进的东西有人学,你不经历的有人经历,你吃不了的苦有人吃,想让人望而生畏,就要拿出常人百倍的野心去奋斗。。。 ---- 网易云热评 ​ 一、软件介绍 K8Cscan一款专用于大型内网渗透的高并发插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,支持批量A段/B段/C段以及跨网段扫描。5.4版本内置28个功能模块,通过各种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、网络共享、网卡物理地址、操作系统版本、网站域名、Web中间件、路由器(Cisco)、数据库等网络.
K8S 生态周报| Trivy 发布新版本
k8s 生态
06-15 322
K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/con...
云原生|kubernetes|安全漏扫神器trivy的部署和使用
zsk_john的技术分享专用博客
01-05 3868
由此,我们可以得出一个结论: kubernetes集群的部署使用kubeadm是没什么问题的,但etcd,flannel。kube-proxy这些组件最好还是二进制部署。
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1154
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具
【GitHub项目推荐--10个最佳开源Docker&Kubernetes安全扫描工具,提升容器安全性!】【转载】
最新发布
j8267643的博客
04-03 1589
Docker容器的轻量、可移植和可扩展特性为应用程序的开发和交付带来了巨大的便利,特别是在微服务架构应用上,是许多开发者和组织的首选。其中,容器本身的安全往往容易容易被忽略,下面内容主要推荐一些对保护Kubernetes集群和Docker容器有用的开源工具,有助于Docker 镜像的静态扫描、安全审计、加固 Kubernetes 集群和实现运行时安全性。Docker使用的是C/S架构,作为服务端的Docker Daemon会接收客户端通过CLI或者REST API发送的命令,并执行对容器的相应操作。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值