k8s学习-CKS真题-日志审计 log audit

最新推荐文章于 2024-05-12 16:34:51 发布
最新推荐文章于 2024-05-12 16:34:51 发布
阅读量891 收藏 1
点赞数 1
分类专栏: # 云原生安全 # CKS 文章标签: kubernetes 学习 java
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/lady_killer9/article/details/130511231
版权

目录

题目

Task
在 cluster 中启用审计日志。为此,请启用日志后端,并确保:
   日志存储在 /var/log/kubernetes/audit-logs.txt
   日志文件能保留 10 天
   最多保留 2 个旧审计日志文件
/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。
注意:基本策略位于 cluster 的 master 节点上。

编辑和扩展基本策略以记录:
   RequestResponse 级别的 persistentvolumes 更改
   namespace front-apps 中 configmaps 更改的请求体
   Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改
此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。
注意:不要忘记应用修改后的策略。

kube-apiserver.yaml选项解释:
- -audit-policy-file 指定审计策略文件
- -audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。
- -audit-log-maxage 定义保留旧审计日志文件的最大天数
- -audit-log-maxbackup 定义要保留的审计日志文件的最大数量
- -audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)

更多见参考

环境搭建

命令

mkdir -p /etc/kubernetes/logpolicy/
vim /etc/kubernetes/logpolicy/sample-policy.yaml

内容

apiVersion: audit.k8s.io/v1
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API group
      resources: ["endpoints", "services"]
  # Don't log authenticated requests to certain non-resource URL paths.    
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*"  # Wildcard matching.
    - "/version"
  # Please do not delete the above rule content, you can continue add it below.

解题

命令

vim /etc/kubernetes/logpolicy/sample-policy.yaml

内容

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Don't log watch requests by the "system:kube-proxy" on endpoints or services
  - level: None
    users: ["system:kube-proxy"]
    verbs: ["watch"]
    resources:
    - group: "" # core API group
      resources: ["endpoints", "services"]

  # Don't log authenticated requests to certain non-resource URL paths.
  - level: None
    userGroups: ["system:authenticated"]
    nonResourceURLs:
    - "/api*" # Wildcard matching.
    - "/version"
  # Please do not delete the above rule content, you can continue add it below.
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    resources:
    - group: ""
      resources: ["persistentvolumes"]
  # Log "pods/log", "pods/status" at Metadata level
  - level: Metadata
    resources:
    - group: ""
      resources: ["secrets", "configmaps"]

  # Log the request body of configmap changes in kube-system.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["configmaps"]
    namespaces: ["front-apps"]
  # A catch-all rule to log all other requests at the Metadata level.
  - level: Metadata
    # Long-running requests like watches that fall under this rule will not
    # generate an audit event in RequestReceived.
    omitStages:
      - "RequestReceived"

截图

在这里插入图片描述
修改kube-apiserverl.yaml配置文件
命令

vim /etc/kubernetes/manifests/kube-apiserver.yaml

添加以下四个启动项

- --audit-log-path=/var/log/kubernetes/audit-logs.txt
- --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
- --audit-log-maxage=10
- --audit-log-maxbackup=2

截图
在这里插入图片描述
截图
在这里插入图片描述

重启kubelet
命令

systemctl daemon-reload
systemctl restart kubelet

截图
在这里插入图片描述

模拟题

在这里插入图片描述
在这里插入图片描述

参考

k8s-审计

lady_killer9
关注
  • 1
    点赞
  • 1
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
K8S-CKS介绍及实战演示
02-07
K8S---CKS介绍及实战演示
K8s-cks必备技能攻略
02-07
K8s-CKS必备技能攻略 K8s框架介绍: K8s框架是由三个紧密协作的独立组件组合而成的,它们分别是负责API服务的kube-apiserver、负责调度的kube-scheduler,以及负责容器编排的kube-controller-manager。整个集群的...
CKS 认证备考指南
KubeSphere
09-15 989
作者:scwang18,主要负责技术架构,在容器云方向颇有研究。 前言 CKA 和 CKS 是 Linux 基金会联合 CNCF 社区组织的云原生技术领域权威的技术水平认证考试,考试采用实操方式进行。CKS 全称是 Certified Kubernetes Security Specialist,它在一个模拟真实的环境中测试考生对 Kubernetes 和云安全的知识。在参加 CKS 考试之前,必须已经通过 CKA(Kubernetes 管理员认证),在获得 CKA 证书之后才可以预约 CKS 考试。C
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4378
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本不正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
k8s学习-CKS真题-日志审计 log audit_cks 真题
最新发布
2401_84971828的博客
05-12 881
etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。注意:基本策略位于 cluster 的 master 节点上。编辑和扩展基本策略以记录:RequestResponse 级别的 persistentvolumes 更改namespace front-apps 中 configmaps 更改的请求体Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改。
CKS考试中的真题,以及对应的详细答案
weixin_44320761的博客
06-08 1236
【代码】CKS考试中的真题,以及对应的详细答案。
k8s学习-CKS真题-Pod指定ServiceAccount
关注网络安全、云原生安全
02-04 1109
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。
云原生|kubernetes|2022年底cks真题解析(11-16)
zsk_john的技术分享专用博客
01-17 2835
​ 前言: 接上一篇文章:云原生|kubernetes|2022年底cks真题解析(1-10)_晚风_END的博客-CSDN博客 2022年底的csk真题第二部分 11题到16题 ​
K8s-cks进阶技能攻略
02-07
K8s-cks进阶技能攻略 KubernetesK8s)是容器编排系统,它提供了自动化部署、扩展和管理容器化应用程序的功能。下面是K8s的关键组件、架构、工作原理、调度流程、准入控制等知识点。 Kubernetes核心组件 ...
linuxfoundation kubernetes/k8s CKS考试实验手册
01-28
《Linux基金会 Kubernetes/K8s CKS考试实验手册》是针对LFS260课程的一份重要参考资料,旨在帮助考生深入理解和掌握Kubernetes的安全基础。该手册由Linux基金会于2021年1月7日发布,并对版权有严格的保护规定,仅供...
2021 CKA-CKSKubernetes管理员/专家)备考攻略.pptx
10-26
2021 CKA-CKSKubernetes管理员/专家)备考攻略
cks 试题
爱死亡机器人
01-16 6235
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
k8s审计日志
fourierr的博客
05-03 1468
k8s在 v1.7 版本中发布了审计Audit日志功能,审计Audit)提供了时序操作记录(包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等)。K8s 中的审计日志是标准的 JSON 格式,APIServer 会根据具体的日志策略将对应的审计日志保存本地,并可以设置最大保存周期、时间、轮转策略等,一般在/var/log/kube-apiserver目录下。
k8s学习-CKS真题-日志审计 log audit_cks 真题(1)
2401_84971783的博客
05-12 666
内容。
CKS 试题训练【1】
爱死亡机器人
04-11 2802
文章目录1. 考点:Use Role Based Access Controls to minimize exposure试题 1:RBAC授权问题第1步:检查当前 RBAC rules第2步:创建其他RBAC rules2. 考点:Setup appropriate OS level security domains e.g. using PSP, OPA, security contexts试题1:使用OPA策略提高安全性3. 考点:Detect threats within physical infr
2024 CKS 题库 | 5、日志审计 log audit
aifeier的博客
02-15 728
日志审计这一题需要自己调整的内容还是挺多的,因此要非常仔细,建议修改前备份一下原始的环境,要不然修改错了就会导致集群崩溃。添加以下参数:注意空格要对齐,不建议放到最后,建议按照下图的位置放这四条信息。在cluster中启用审计日志。注意:基本策略位于 cluster 的 master 节点上。定义审计策略yaml文件位置,通过hostpath挂载。不要删除原有规则, 可以在下面继续追加题目要求的规则。它仅指定不记录的内容。此外,添加一个全方位的规则以在。注意:不要忘记应用修改后的策略。
CKS真题分析-2023年度
李凯的博客
10-31 3153
CKS 2023CKS CKS真题解析
三天稳过cks终极秘籍
qq_51552268的博客
05-05 1312
三天让你稳过cks
Kubernetes 审计日志
qq_36270681的博客
01-22 2015
启用审计日志功能:参考文档 审计 | Kubernetes vi /etc/kubernetes/manifests/kube-apiserver.yaml … - --audit-policy-file=/etc/kubernetes/audit/audit-policy.yaml - --audit-log-path=/var/log/k8s_audit.log - --audit-log-maxage=30 - --audit-log-maxbackup=10 - --audit-lo

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值