k8s学习-CKS真题-Trivy扫描镜像安全漏洞

已于 2023-06-24 18:25:36 修改
阅读量996 收藏
点赞数 2
分类专栏: # 云原生安全 # CKS 文章标签: kubernetes CKS Pod
于 2023-04-16 12:02:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/129472623
版权

目录

对应b站视频: CKS题目-Trivy扫描镜像漏洞

题目

Task
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。

环境搭建

下载trivy

https://github.com/aquasecurity/trivy/releases/tag/v0.34.0

安装
读者根据自己的操作系统版本安装即可,这里博主是centos7。
命令

rpm -ivh trivy_0.34.0_Linux-64bit.rpm

截图
在这里插入图片描述
创建命名空间和pod
命令

kubectl create ns kamino
kubectl run nginx --image=nginx -n kamino
kubectl run alpine --image=alpine:3.14 -n kamino

截图
在这里插入图片描述

解题

获取所有镜像
命令

kubectl get po -n kamino -o yaml | grep image:

截图
在这里插入图片描述
第一需要下载库(考试时不需要)
命令

trivy image -s "HIGH,CRITICAL" alphine:3.14

截图
在这里插入图片描述
之后添加–skip-update参数即可
命令

trivy image --skip-update -s "HIGH,CRITICAL" nginx:latest

结果
在这里插入图片描述
一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。
在这里插入图片描述

kubectl get pods -n kamino -o jsonpath='{range .items[*]}{.metadata.name}{"\t"}{range .spec.containers[*]}{.image}{"\n"}{end}{end}' | tr ' ' '\n' | sort -u | xargs -I {} trivy --skip-update --severity "HIGH,CRITICAL" {} | tee res.txt

删除pod命令

kubectl delete po xxx -n kamino

b站视频中使用的命令

kubectl get po -n applications -o yaml | grep '\- image'
{ for i in nginx:1.19.1-alpine-perl nginx:1.19.1-alpine-perl nginx:1.20.2-alpine; do trivy image -s HIGH,CRITICAL $i > $i.txt; done }
kubectl scale deploy web1 -n applications -o yaml

模拟题

在这里插入图片描述

参考

github-trivy
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

lady_killer9
关注
  • 2
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1033
生产环境中的 k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
CKS】考试之 Trivy 镜像扫描
sinat_33076015的博客
09-07 184
切换 Context 后, ssh 到对应的 master 节点。
CKS镜像漏洞扫描工具:Trivy
最新发布
DwanCloud
03-26 779
Trivy是一款用于扫描容器镜像、文件系统、Git仓库等的漏洞扫描工具它可以发现目标软件存在的漏洞、配置错误、敏感信息等安全问题Trivy易于安装和使用,可与CI系统集成。
Kubernetes CKS【19】---Image Vulnerability Scanning(Trivy
爱死亡机器人
05-21 1005
介绍 https://cve.mitre.org/ https://nvd.nist.gov/ Clair and Trivy Practice - Use Trivy to scan images
云原生|kubernetes|2022年底cks真题解析(11-16)
zsk_john的技术分享专用博客
01-17 2763
​ 前言: 接上一篇文章:云原生|kubernetes|2022年底cks真题解析(1-10)_晚风_END的博客-CSDN博客 2022年底的csk真题第二部分 11题到16题 ​
K8S认证】2023年CKS考题-Trivy镜像扫描(解析+答案)
u014481728的博客
10-27 1659
K8S认证】2023年CKS考题-Trivy镜像扫描(解析+答案)
集群scan_扫描k8s集群中的漏洞
weixin_29927289的博客
01-14 651
Kubei是一个漏洞扫描和CIS Docker基准测试工具,它能够对kubernetes集群进行准确,即时的风险评估。Kubei扫描Kubernetes集群中正在使用的所有图像,包括应用程序Pod和系统Pod镜像。它不会扫描整个镜像注册表,也不需要与CI / CD进行初步集成。它是一种可配置的工具,可以定义扫描范围(目标名称空间),速度和关注的漏洞级别,还提供了图形用户界面。安装要求:...
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 593
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描
jasonhe2018的博客
01-22 533
K8S-Demo集群实践:搭建镜像仓库Harbor+安全扫描一、安装Docker-compose1、下载docker-compose2、查看docker-compose版本号二、安装harbor1、下载并解压到/usr/local/目录下2、修改配置3、安装三、访问测试四、添加镜像扫描器参考 用VMware创建一台虚拟机,安装CentOS7.9,4C/4G 安装Docker-compose,要先装Docker,参见准备VMware虚拟机模板 一、安装Docker-compose 1、下载docker-c
镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!
Docker公司
03-02 981
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面上个月 Docker 企业版(EE)容器平台的测试发行版集成了可以与 Swarm 并存运行的 Kubernetes 编排,从而提供了统一的平台来支持传统和新的应用程序在本地或云端中运行。对于正在探索 Kubernetes 或正在将 Kubernetes 部署到生产环境的组织来说,Docke
CKS1.23 考试题整理(10)-Trivy扫描镜像安全漏洞
april_4的博客
04-19 964
题目 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像Pod。 参考 kubectl 备忘单 | Kubernetes 解答 获取所有namespace下的pod kubectl get pods --namespace kamino --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.container
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略
K8s-cks必备技能攻略
02-07
K8s-cks必备技能攻略
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
LFS260-labs_V2021-01-07.pdf
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1048
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具
综合扫描 -- K8scan
weixin_41489908的博客
01-29 1009
你学不进的东西有人学,你不经历的有人经历,你吃不了的苦有人吃,想让人望而生畏,就要拿出常人百倍的野心去奋斗。。。 ---- 网易云热评 ​ 一、软件介绍 K8Cscan一款专用于大型内网渗透的高并发插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,支持批量A段/B段/C段以及跨网段扫描。5.4版本内置28个功能模块,通过各种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、网络共享、网卡物理地址、操作系统版本、网站域名、Web中间件、路由器(Cisco)、数据库等网络.
K8S 生态周报| Trivy 发布新版本
k8s 生态
06-15 308
K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/con...
cks k8s真题带详细答案
06-08
以下是一些可能出现在CKS考试中的真题,以及对应的详细答案: 1. 如何禁用Kubernetes API Server的匿名访问? 答:可以通过修改Kubernetes API Server的配置文件来禁用匿名访问。具体方法如下: 在Kubernetes API Server的配置文件中添加以下选项: ``` - --anonymous-auth=false ``` 然后重新启动Kubernetes API Server即可。 2. 如何配置Kubernetes API Server使用TLS证书进行双向认证? 答:可以通过修改Kubernetes API Server的配置文件来配置TLS证书进行双向认证。具体方法如下: 首先,生成CA证书和服务器证书: ``` $ openssl genrsa -out ca.key 2048 $ openssl req -new -key ca.key -out ca.csr $ openssl x509 -req -in ca.csr -signkey ca.key -out ca.crt $ openssl genrsa -out server.key 2048 $ openssl req -new -key server.key -out server.csr $ openssl x509 -req -in server.csr -CA ca.crt -CAkey ca.key -out server.crt ``` 然后,在Kubernetes API Server的配置文件中添加以下选项: ``` - --tls-cert-file=server.crt - --tls-private-key-file=server.key - --client-ca-file=ca.crt - --tls-cert-file=server.crt - --tls-private-key-file=server.key ``` 最后,重新启动Kubernetes API Server即可。 3. 如何为Kubernetes Pod中的应用程序提供安全的服务发现? 答:可以通过使用Kubernetes的Service来为Pod中的应用程序提供安全的服务发现。具体方法如下: 首先,创建一个Service,并将其类型设置为ClusterIP: ``` apiVersion: v1 kind: Service metadata: name: my-service spec: type: ClusterIP ports: - name: http port: 80 targetPort: 8080 ``` 然后,在Pod的配置文件中添加以下环境变量: ``` env: - name: MY_SERVICE_HOST value: my-service - name: MY_SERVICE_PORT value: "80" ``` 这样,在Pod中就可以通过访问MY_SERVICE_HOST和MY_SERVICE_PORT来访问Service提供的服务了。 4. 如何保护Kubernetes Pod中的敏感信息? 答:可以通过使用Kubernetes的Secret来保护Pod中的敏感信息。具体方法如下: 首先,创建一个Secret对象,并将需要保护的密钥和值存储在其中: ``` apiVersion: v1 kind: Secret metadata: name: my-secret type: Opaque data: username: dXNlcm5hbWU= password: cGFzc3dvcmQ= ``` 接着,在Pod的配置文件中使用该Secret: ``` apiVersion: v1 kind: Pod metadata: name: my-pod spec: containers: - name: my-container image: my-image env: - name: DB_USERNAME valueFrom: secretKeyRef: name: my-secret key: username - name: DB_PASSWORD valueFrom: secretKeyRef: name: my-secret key: password ``` 这样,在Pod中就可以通过访问DB_USERNAME和DB_PASSWORD来访问Secret中存储的敏感信息了。 5. 如何检查Kubernetes集群中的Pod是否使用了最新的安全补丁? 答:可以通过使用Kubernetes的SecurityContext来检查Pod是否使用了最新的安全补丁。具体方法如下: 首先,在Pod的配置文件中添加以下SecurityContext: ``` securityContext: runAsNonRoot: true readOnlyRootFilesystem: true allowPrivilegeEscalation: false ``` 然后,在容器中运行以下命令: ``` apt-get update apt-get upgrade ``` 这样就可以检查Pod中的容器是否使用了最新的安全补丁。 6. 如何限制用户在Kubernetes集群中的访问权限? 答:可以通过使用Kubernetes的Role和RoleBinding来限制用户在Kubernetes集群中的访问权限。具体方法如下: 首先,创建一个Role对象,指定该对象可以访问的资源和操作: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: Role metadata: name: my-role rules: - apiGroups: [""] resources: ["pods"] verbs: ["get", "watch", "list"] ``` 接着,创建一个RoleBinding对象,将该Role对象绑定到指定的用户或组: ``` apiVersion: rbac.authorization.k8s.io/v1 kind: RoleBinding metadata: name: my-role-binding subjects: - kind: User name: my-user roleRef: kind: Role name: my-role apiGroup: rbac.authorization.k8s.io ``` 这样,用户my-user就可以访问该Role对象指定的资源和操作了。 7. 如何配置Kubernetes集群的网络策略以保护Pod之间的通信? 答:可以通过使用Kubernetes的NetworkPolicy来配置网络策略以保护Pod之间的通信。具体方法如下: 首先,创建一个NetworkPolicy对象,指定该对象可以访问的Pod标签和端口: ``` apiVersion: networking.k8s.io/v1 kind: NetworkPolicy metadata: name: my-network-policy spec: podSelector: matchLabels: app: my-app ingress: - from: - podSelector: matchLabels: role: my-role ports: - protocol: TCP port: 80 ``` 然后,在Pod的配置文件中添加以下标签: ``` metadata: labels: app: my-app role: my-role ``` 这样,只有包含标签app=my-app且来自Pod标签为role=my-role的流量才可以访问Pod。 8. 如何为Kubernetes集群中的节点和Pod提供安全的存储? 答:可以通过使用Kubernetes的StorageClass和PersistentVolumeClaim来为集群中的节点和Pod提供安全的存储。具体方法如下: 首先,创建一个StorageClass对象,指定该对象可以使用的存储类型和访问模式: ``` apiVersion: storage.k8s.io/v1 kind: StorageClass metadata: name: my-storage-class provisioner: my-provisioner parameters: type: my-type accessMode: ReadWriteOnce ``` 然后,在Pod的配置文件中创建一个PersistentVolumeClaim对象,用于申请存储: ``` apiVersion: v1 kind: PersistentVolumeClaim metadata: name: my-pvc spec: accessModes: - ReadWriteOnce resources: requests: storage: 1Gi storageClassName: my-storage-class ``` 这样,Pod就可以通过挂载PersistentVolumeClaim来访问安全的存储了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值