CKS之k8s安全基准工具：kube-bench(1)，2024年最新网络安全岗面试必问

kube-bench run --parallel

7. 更新CIS基准到最新版本

kube-bench download latest

8. 查看kube-bench版本

kube-bench version

kube-bench配置

1.文件格式
kube-bench的配置文件采用YAML格式,包含一系列的检查项配置。每个检查项通过唯一的id进行标识。

测试项目配置文件路径:/etc/kube-bench/cfg/cis-1.6/

配置项示例:

• id: 1.2.21
  text: “Ensure that the --profiling argument is set to false (Automated)”
  audit: “/bin/ps -ef | grep $apiserverpbin | grep -v grep”
  tests:
  test_items:
  • flag: “–profiling”
    compare:
    op: eq
    value: false
    remediation: |
    Edit the API server pod specification file $apiservercconf
    on the master node and set the below parameter.
    –profiling=fals

2.检查项字段
每个检查项都包含以下几个主要字段:

• id: 唯一标识符

• text: 对该检查项的文字描述

• audit: 执行审计的命令,用于检查当前系统状态

• tests: 具体的测试条件 #tests下的test_items字段定义了具体的测试条件。可以根据实际需求修改该部分的测试逻辑

  • test_items: 实际测试项
  • compare: 测试结果与期望值的比较方式(eq、neq等)

• remediation: 如果审计失败,给出的修复建议

• scored: 该项对总分数的影响(true、false、WARN)

• type: 该项的处理方式(manual、skip、info) #对于某些无法自动检查的项目,可以设置type=manual,kube-
  bench就会跳过该项并给出WARN警告。如果想跳过某项检查,可以将对应项的type设为skip,这样kube-bench就不会执行该项检查。

1. 处理方式
2. 测试条件

kube-bench运行示例

输出结果分为不同的部分，每部分检查 Kubernetes 的特定安全性方面，比如 API
服务器的配置、控制器管理器、调度器等。每项检查后面标记了“PASS”、“WARN”或“FAIL”，分别表示通过、警告或失败。警告和失败项通常需要人工检查或更正。例如，“FAIL”可能表明配置不符合安全最佳实践，而“WARN”可能意味着某些安全特性没有被启用或需要人工确认配置是否正确。

• “PASS”：表示检查项符合安全推荐。
• “WARN”：表示配置可能存在风险，建议进行检查。
• “FAIL”：表示配置不符合安全推荐，需要采取措施改进。

下图为Node相关的安全检查

1.1.12项“确保 etcd 数据目录权限设置为 700 或更严格
(自动化)”显示为“FAIL”，意味着当前的权限设置不够严格，可能需要进行权限的修改来加强安全性。

下图为关于Node节点的修复建议

1.1.9：建议对特定文件修改权限为644。 1.1.10：建议更改文件的所有权为 root 用户和 root 组。 1.1.12：针对 etcd
服务器节点，提供了获取 etcd 数据目录的方法，并建议将该目录的所有权更改为 etcd 用户和 etcd 组。

后面的部分是关于 API 服务器的安全配置建议，包括：

1.2.1：编辑 API 服务器 pod 规范文件，设置参数 --anonymous-auth=false 以禁用匿名访问。 1.2.6：建议根据
Kubernetes 文档设置 TLS 连接，并编辑 kube-apiserver 的配置文件，设置 --kubelet-certificate- authority 参数。 1.2.10：建议编辑 API 服务器 pod 规范文件，设置 admission 控制插件相关参数。

自我介绍一下，小编13年上海交大毕业，曾经在小公司待过，也去过华为、OPPO等大厂，18年进入阿里一直到现在。

深知大多数网络安全工程师，想要提升技能，往往是自己摸索成长，但自己不成体系的自学效果低效又漫长，而且极易碰到天花板技术停滞不前！

因此收集整理了一份《2024年网络安全全套学习资料》，初衷也很简单，就是希望能够帮助到想自学提升又不知道该从何学起的朋友。
![img](https://img-
blog.csdnimg.cn/img_convert/d512b0645c2ff8141ee3f7a36b4d3a2f.png)
![img](https://img-
blog.csdnimg.cn/img_convert/724b4322936f150735d008ab383ab717.png)
![img](https://img-
blog.csdnimg.cn/img_convert/da10ed6298024ba8eb3d2d4de88660b4.png)
![img](https://img-
blog.csdnimg.cn/img_convert/adef03d3c186665905e23b7b8264bd6d.png)
![img](https://img-
blog.csdnimg.cn/img_convert/f9460e3c2ecea2253397388938e294ff.png)
![img](https://img-
blog.csdnimg.cn/img_convert/8335c3fddfc3129932bcd94dab0762f2.png)

既有适合小白学习的零基础资料，也有适合3年以上经验的小伙伴深入学习提升的进阶课程，基本涵盖了95%以上网络安全知识点，真正体系化！

由于文件比较大，这里只是将部分目录大纲截图出来，每个节点里面都包含大厂面经、学习笔记、源码讲义、实战项目、讲解视频，并且后续会持续更新

如果你觉得这些内容对你有帮助，可以添加VX：vip204888 （备注网络安全获取）
![img](https://img-
blog.csdnimg.cn/img_convert/a5f9bff3ef64dbc3de91bdef469e8a2a.png)

写在最后

在结束之际，我想重申的是，学习并非如攀登险峻高峰，而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后，持之以恒的学习变得愈发不易，如同在茫茫大海中独自划舟，稍有松懈便可能被巨浪吞噬。然而，对于我们程序员而言，学习是生存之本，是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习，我们便如同逆水行舟，不进则退，终将被时代的洪流所淘汰。因此，不断汲取新知识，不仅是对自己的提升，更是对自己的一份珍贵投资。让我们不断磨砺自己，与时代共同进步，书写属于我们的辉煌篇章。

需要完整版PDF学习资源私我

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
![img](https://img-
blog.csdnimg.cn/img_convert/7ab72d8bfdc8423b517d3a6b04145e8e.png)

一个人可以走的很快，但一群人才能走的更远。不论你是正从事IT行业的老鸟或是对IT行业感兴趣的新人，都欢迎扫码加入我们的的圈子（技术交流、学习资源、职场吐槽、大厂内推、面试辅导），让我们一起学习成长！
[外链图片转存中…(img-PkH5nxn6-1712650100670)]

接下来我将给各位同学划分一张学习计划表！

学习计划

那么问题又来了，作为萌新小白，我应该先学什么，再学什么？
既然你都问的这么直白了，我就告诉你，零基础应该从什么开始学起：

阶段一：初级网络安全工程师

接下来我将给大家安排一个为期1个月的网络安全初级计划，当你学完后，你基本可以从事一份网络安全相关的工作，比如渗透测试、Web渗透、安全服务、安全分析等岗位；其中，如果你等保模块学的好，还可以从事等保工程师。

综合薪资区间6k~15k

1、网络安全理论知识（2天）
①了解行业相关背景，前景，确定发展方向。
②学习网络安全相关法律法规。
③网络安全运营的概念。
④等保简介、等保规定、流程和规范。（非常重要）

2、渗透测试基础（1周）
①渗透测试的流程、分类、标准
②信息收集技术：主动/被动信息搜集、Nmap工具、Google Hacking
③漏洞扫描、漏洞利用、原理，利用方法、工具（MSF）、绕过IDS和反病毒侦察
④主机攻防演练：MS17-010、MS08-067、MS10-046、MS12-20等

3、操作系统基础（1周）
①Windows系统常见功能和命令
②Kali Linux系统常见功能和命令
③操作系统安全（系统入侵排查/系统加固基础）

4、计算机网络基础（1周）
①计算机网络基础、协议和架构
②网络通信原理、OSI模型、数据转发流程
③常见协议解析（HTTP、TCP/IP、ARP等）
④网络攻击技术与网络安全防御技术
⑤Web漏洞原理与防御：主动/被动攻击、DDOS攻击、CVE漏洞复现

5、数据库基础操作（2天）
①数据库基础
②SQL语言基础
③数据库安全加固

6、Web渗透（1周）
①HTML、CSS和JavaScript简介
②OWASP Top10
③Web漏洞扫描工具
④Web渗透工具：Nmap、BurpSuite、SQLMap、其他（菜刀、漏扫等）

那么，到此为止，已经耗时1个月左右。你已经成功成为了一名“脚本小子”。那么你还想接着往下探索吗？

阶段二：中级or高级网络安全工程师（看自己能力）

综合薪资区间15k~30k

7、脚本编程学习（4周）
在网络安全领域。是否具备编程能力是“脚本小子”和真正网络安全工程师的本质区别。在实际的渗透测试过程中，面对复杂多变的网络环境，当常用工具不能满足实际需求的时候，往往需要对现有工具进行扩展，或者编写符合我们要求的工具、自动化脚本，这个时候就需要具备一定的编程能力。在分秒必争的CTF竞赛中，想要高效地使用自制的脚本工具来实现各种目的，更是需要拥有编程能力。

零基础入门的同学，我建议选择脚本语言Python/PHP/Go/Java中的一种，对常用库进行编程学习
搭建开发环境和选择IDE，PHP环境推荐Wamp和XAMPP，IDE强烈推荐Sublime；

Python编程学习，学习内容包含：语法、正则、文件、 网络、多线程等常用库，推荐《Python核心编程》，没必要看完

用Python编写漏洞的exp,然后写一个简单的网络爬虫

PHP基本语法学习并书写一个简单的博客系统

熟悉MVC架构，并试着学习一个PHP框架或者Python框架 (可选)

了解Bootstrap的布局或者CSS。

阶段三：顶级网络安全工程师

如果你对网络安全入门感兴趣，那么你需要的话可以点击这里👉网络安全重磅福利：入门&进阶全套282G学习资源包免费分享！

学习资料分享

当然，只给予计划不给予学习资料的行为无异于耍流氓，这里给大家整理了一份【282G】的网络安全工程师从入门到精通的学习资料包，可点击下方二维码链接领取哦。