k8s ssl/tls安全问题修复

已于 2023-07-06 17:24:18 修改
阅读量584 收藏 1
点赞数 1
分类专栏: 漏洞修复 文章标签: ssl 安全 kubernetes
于 2023-07-06 17:23:13 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/ethin_l/article/details/131580454
版权

k8s ssl/tls安全问题

漏洞原理

kubernets组件在相互通信的时候,采用的是https协议。https协议作为一种安全的通信协议,就是在http协议的基础上,加了ssl层,ssl层通过各种各样的加密算法最终实现整个报文在传输过程中的安全性。
然而在多种加密算法中,DES和3DES算法会被漏洞扫描工具认为是不安全的算法(具体为什么不安全,有兴趣的朋友可以私下去了解),k8s组件在不配置ssl加密算法的情况下,默认使用的加密算法就会使用到DES和3DES算法,因为就会被扫出来漏洞。

漏洞信息

SSL/TLS协议信息泄露漏洞(CVE-2016-2183)
通过分析漏洞报告不难发现,端口对应分别是etcd,kube-apiserver,kube-controller-manager,kube-schedule等服务
在这里插入图片描述
在这里插入图片描述
在这里插入图片描述

修复方案

参考文章:https://www.jianshu.com/p/96d3c5843e57
通过去修改每个组件的ssl加密算法,不让其采用DES,3DES算法,就可以修复该漏洞

操作方案

以下方案只要针对采用二进制方式安装的k8s环境,kubeadm方式安装的环境,可能修改的配置文件和路径不同

etcd

  1. 在etcd.conf文件中添加ETCD_CIPHER_SUITES参数,取值为:
ETCD_CIPHER_SUITES="TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384"

在这里插入图片描述
2. 加载配置文件,重启服务

systemctl daemon-reload && systemctl restart etcd

kube-apiserver,kube-controller-manager,kube-schedule

  1. 分别在kube-apiserver,kube-controller-manager,kube-schedule配置文件中添加参数,取值为:
--tls-cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256,TLS_ECDHE_RSA_WITH_AES_256_GCM_SHA384

在这里插入图片描述
在这里插入图片描述
在这里插入图片描述
2. 加载配置文件,重启服务

systemctl daemon-reload && systemctl restart kube-controller-manager.service
systemctl daemon-reload && systemctl restart kube-apiserver.service
systemctl daemon-reload && systemctl restart kube-scheduler.service
Ethin_l
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 1
    评论
专栏目录
Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本
06-09
Windows Server 合规漏洞修复修复Windows Server CVE-2016-2183 SSL/TLS协议信息泄露漏洞修复脚本,基于Windows PowerShell, 兼容Windows Server 2016/2019,防止Sweet32 生日攻击
kubernetes容器集群 - HTTPS认证和授权机制学习
weixin_30699463的博客
10-31 152
在学习和搭建二进制Kubernetes集群过程中,对其中涉及到的一推证书往往很懵,虽然参考网上大量的部署教程最后会成功部署并正常运行起来,但对其中的部署流程和原理细节等还是很模糊,下面根据搜集网上资料和kubernetes相关书籍特意梳理下kubernetes认证授权机制的基础知识,重点关注TLS Bootstrapping(TLS 引导)、证书自动颁发证书轮换、认证过程的RB...
K8S集群tls证书管理
weixin_33905756的博客
08-31 601
在前文介绍的k8s master高可用实践方案中,需要对kube-apiserver的证书进行更新,加入VIP和从节点的IP,然后重新下发证书。回顾K8S集群整个搭建过程中,最容易让人懵圈的也就是配置证书环节,因此本文对K8S集群所用到的证书进行梳理一下。 一、根证书 ca.pem 根证书公钥文件ca-key.pem 根证书私钥文件ca.csr 证书签名请求...
K8S ingress 阿里云 ssl证书安装或者更新
张震--golang
09-12 843
将替换为你想要的Secret名称,替换为你下载的证书文件的路径,替换为私钥文件的路径。将替换为你在第三步中创建的Secret名称,your.domain.com替换为你的域名,your-service替换为你的后端服务的名称。配置Ingress对象:在你的Ingress对象中,你需要指定你刚才创建的Secret名称,以及你要保护的路径和后端服务。
kubernets TLS引导配置证书以及证书自动轮换
小人物也有大梦想
10-23 1115
Kubernetes集群中,工作程序节点上的组件-kubelet和kube-proxy-需要与Kubernetes主组件(特别是kube-apiserver)进行通信。为了确保通信保持私密,不受干扰,并确保群集的每个组件都在与另一个受信任的组件通信,我们强烈建议在节点上使用客户端TLS证书。 自举这些组件的正常过程,特别是需要证书的工作节点,以便它们可以与kube-apiserver安全通信,这是一个具有挑战性的过程,因为它通常不在Kubernetes的范围内,并且需要大量的额外工作。反过来,这可能使初始
修复 K8s SSL/TLS 漏洞(CVE-2016-2183)指南
热门推荐
KubeSphere
02-21 1万+
测试服务器配置主机名IPCPU内存系统盘数据盘用途2440200Ansible 运维控制节点41640200+20041640200+20041640200+2002840200+2002840200+2002840200+200harbor2840200Harbor合计822843202800测试环境涉及软件版本信息2.8.203.3.0v1.24.19.5.17.17.52.5.1。
K8s--集群的设置-配置TLS
weixin_45081220的博客
05-25 571
TLS 传输层加密 前身是SSl tls/ssl 只有A去验证B的证书的合法性 单向TLS 双向验证证书合法性 双向TLS 就是mTLS https=http+tls/ssl 对称加密 加密和解密使用同一个密钥–密码 优点:加密大数据比较快 缺点:密钥不方便传输 常见:AES, DES 加密长度越长越安全 非对称加密 公钥、私钥 数据加密模式:公钥加密,私钥解密 数字签名模式:私钥加密,公钥解密 哈希函数 md5 sha1 sha512 k8s使用的就是mTLS进行通信 访问某个po
【博客494】k8s TLS Bootstrap机制
qq_43684922的博客
09-12 979
流程图:场景:当集群开启了 TLS 认证后,每个节点的 kubelet 组件都要使用由 apiserver 使用的 CA 签发的有效证书才能与 apiserver 通讯;此时如果节点多起来,为每个节点单独签署证书将是一件非常繁琐的事情;TLS bootstrapping 功能就是让 kubelet 先使用一个预定的低权限用户连接到 apiserver,然后向 apiserver 申请证书kubelet 的证书由 apiserver 动态签署。
K8s基础9——服务发现Coredns、Ingress Controller多种暴露方式、TLS+DaemonSet、Headless Services
百慕卿君博客
05-11 1938
1、服务发现机制service dns解析,Coredns工作流程。 2、Ingress Controller service NodePort暴露、宿主机网络共享暴露 3、TLS,https访问,解决弊端问题配合DaemonSet使用。 4、Headless Service无头服务
kubernetes 坑人的错误!!!Unable to connect to the server: x509: certificate signed by unknown authority
江晓龙的博客
01-02 2815
1.问题说明 搭建完k8s集群,k8s-master节点一开始还可以正常使用kubelet命令,过会后就不能正常使用率,真是气人 前一秒还能用,下一秒就不行 2.问题解决方式 在网上找遍了解决问题的博客,依然无法解决问题,写的一塌糊涂,都是抄袭,真的很狗 2.1.问题复现 在正常的k8s集群的master节点执行以下几个命令: mkdir -p $HOME/.kube cp -i /etc/kubernetes/admin.conf $HOME/.kube/config chown $(id
.net中为 SSL/TLS 安全通道建立信任关系
09-14
.net中为 SSL/TLS 安全通道建立信任关系
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
12-26
解决 SSL/TLS协议信息泄露漏洞(CVE-2016-2183) ps1 文件
python smtplib模块发送SSL/TLS安全邮件实例
09-22
主要介绍了python smtplib模块发送SSL/TLS安全邮件实例,本文讲解了二种发送方式,需要的朋友可以参考下
部署Kubernetes高可用集群(上)
D部落
09-28 529
一、前置知识点 1.1 生产环境可部署Kubernetes集群的两种方式 目前生产部署Kubernetes集群主要有两种方式: kubeadm Kubeadm是一个K8s部署工具,提供kubeadm init和kubeadm join,用于快速部署Kubernetes集群。 官方地址:https://kubernetes.io/docs/reference/setup-tools/kubeadm/kubeadm/ 二进制包 从github下载发行版的二进制包,手动部署每个组件,..
Kubernetes集群搭建1.18(二进制部署)
weixin_43404595的博客
10-03 369
二进制部署kubernetes
K8s安全总结
liukuan73的专栏
12-05 8760
1. 预备知识1.1 kubernetes api相关知识Kubernetes API是集群系统中的重要组成部分,Kubernetes中各种资源(对象)的数据通过该API接口被提交到后端的持久化存储(etcd)中,Kubernetes集群中的各部件之间通过该API接口实现解耦合,同时Kubernetes集群中一个重要且便捷的管理工具kubectl也是通过访问该API接口实现其强大的管理功能的。Kub
Kubernetes证书篇:手动生成二进制kubernetes集群相关证书
东城绝神
04-24 1528
《《Kubernetes证书篇:二进制手动生成kubernetes集群相关证书
Kubernetes 配置基本指南:关键集群设置
最新发布
一览无遗
12-18 1024
如果您的用例需要自定义 DNS 服务器,例如,集群中的应用程序需要连接到本地数据中心的私有 DNS 端点,则可以将自定义 DNS 服务器添加到核心 DNS configmap 配置中。中所讨论的,所有控制平面组件都是由 kubelet 从目录中存在的静态 pod 清单启动的。在本指南中,我们了解了重要的 Kubernetes 集群配置,这些配置将帮助您进行 Kubernetes 集群管理活动。对于主要发生在本地环境中的自托管 Kubernetes 集群,您需要了解集群控制平面和工作节点的每个配置。
未能创建 SSL/TLS 安全通道
08-25
"请求被中止: 未能创建 SSL/TLS 安全通道"的错误通常是由于服务器和客户端之间的安全协议不匹配导致的。解决这个问题的方法有两种。首先,你可以升级.NET Framework的版本到4.6或以上。这样可以确保你的应用程序支持...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值