k8s学习-CKS真题-Context安全上下文

lady_killer9

已于 2023-05-18 21:24:08 修改

阅读量772

点赞数 1

分类专栏： # 云原生安全 # CKS 文章标签： kubernetes 学习安全

于 2023-05-08 20:33:08 首次发布

本文链接：https://blog.csdn.net/lady_killer9/article/details/130543418

版权

云原生安全同时被 2 个专栏收录

55 篇文章 28 订阅

订阅专栏

CKS

18 篇文章 13 订阅

订阅专栏

题目

Context
Container Security Context 应在特定 namespace 中修改 Deployment。
Task
按照如下要求修改 sec-ns 命名空间里的 Deployment secdep
一、用 ID 为 30000 的用户启动容器（设置用户 ID 为: 30000）
二、不允许进程获得超出其父进程的特权（禁止 allowPrivilegeEscalation）
三、以只读方式加载容器的根文件系统（对根文件的只读权限）

环境搭建

命令

kubectl create ns sec-ns
kubectl create deploy secdep --image=nginx -n sec-ns

截图
在这里插入图片描述

解题

修改deployment
命令

kubectl -n sec-ns edit deployment secdep

任务一

在template的spec下面添加（考试时可能已有securityContext）

securityContext:
  runAsUser: 30000

任务二、三

在每个容器中添加

securityContext:
      allowPrivilegeEscalation: false
      readOnlyRootFilesystem: true

截图
在这里插入图片描述

参考

k8s-为Pod配置安全上下文

更多k8s相关内容，请看文章：k8s学习-思维导图与学习笔记

确定要放弃本次机会？

福利倒计时

: :

立减 ¥

普通VIP年卡可用

立即使用

lady_killer9

关注关注

1
点赞
踩
0

收藏

觉得还不错? 一键收藏
打赏
0
评论
k8s学习-CKS真题-Context安全上下文

在spec下面添加（考试时可能已有securityContext）修改deployment。
复制链接

扫一扫

专栏目录

K8s进阶6——pod安全上下文，腾讯T2亲自教你

m0_60732644的博客

04-05

1181

还有兄弟不知道网络安全面试可以提前刷题吗？费时一周整理的160+网络安全面试题，金九银十，做网络安全面试里的显眼包！王岚嵚工程师面试题（附答案），只能帮兄弟们到这儿了！如果你能答对70%，找一个安全工作，问题不大。对于有1-3年工作经验，想要跳槽的朋友来说，也是很好的温习资料！【完整版领取方式在文末！！

非root用户运行容器（K8S SecurityContext）

小单的博客专栏

08-04

4909

一、从构建镜像的角度下手将非root用户添加到Dockerfile # RUN命令执行创建用户和用户组（命令创建了一个用户newuser设定ID为5000，并指定了用户登录后使用的主目录和shell） RUN groupadd --gid 5000 newuser \ && useradd --home-dir /home/newuser --create-home --uid 5000 --gid 5000 --shell /bin/sh --skel /dev/null newus

参与评论您还未登录，请先登录后发表或查看评论

K8s进阶6——pod安全上下文(1)，重难点整理

最新发布

2401_84138785的博客

04-07

1073

2.创建pod，使用安全上下文指定普通用户id。metadata:labels:spec:selector:template:metadata:labels:spec:3.进入pod容器查看，是以普通用户id为1000的qingjun用户启用程序。4.若构建镜像时没有提前创建普通用户，则在pod.yaml里指定安全上下文创建的容器程序里的普通用户id就是从1000开始。##构建镜像没有提前创建普通用户。##新镜像推送到镜像仓库。

10 个 Kubernetes 安全上下文配置

小楼一夜听春雨，深巷明朝卖杏花

07-12

481

在 Kubernetes 中安全地运行工作负载是很困难的，有很多配置都可能会影响到整个 Kubernetes API 的安全性，这需要我们有大量的知识积累来正确的实施。Kubernetes 在安全方面提供了一个强大的工具securityContext，每个 Pod 和容器清单都可以使用这个属性。在本文中我们将了解各种securityContext的配置，探讨它们的含义，以及我们应该如何使用它们。 securityContext设置在PodSpec和ContainerSpec规范中都有定义，...

CKS-系统强化-SECcomp(sysdig)

weixin_45081220的博客

06-22

372

linux kernel从2.6.23版本开始所支持的一种安全机制在Linux系统里，大量的系统调用（systemcall）直接暴露给用户态程序。但是，并不是所有的系统调用都被需要，而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp，我们限制程序使用某些系统调用，这样可以减少系统的暴露面，使程序进入一种“安全”的状态。官方说明 https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt我们系统有300多个系

Kubernetes SecurityContext 安全上下文 runAsUser以及阻止容器使用 root 户运行

小楼一夜听春雨，深巷明朝卖杏花

08-05

8530

配置节点的安全上下文 除了让 pod 使用宿主节点的 Linux 命名空间，还可以在 pod 或其所属容器的描述中通过 security Context 边项配置其他与安全性相关的特性。这个选项可以运用于整个 pod ，或者每个 pod 中单独的容器。了解安全上下文中可以配置的内容，配置安全上下文可以允许你做很多事指定容器中运行进程的用户（用户ID ）。阻止容器使用 root 户运行（容器的默认运行用户通常在其镜像中指定，所以可能需要阻止容器 root 用户运行使用特权模式运行

CKS考试中的真题，以及对应的详细答案

weixin_44320761的博客

06-08

1283

【代码】CKS考试中的真题，以及对应的详细答案。

kubernetes常见安全问题_Kubernetes安全上下文runAsUser

weixin_39895977的博客

12-21

517

定义定义描述 ContainerGroup 容器组 ImageRegistryCredential 镜像仓库登录信息 Volume 数据卷 Event 事件 Tag 容器标签 DNSConfig DNS配置信息 Container 容器 ContainerState 容器状态 VolumeMount 数据卷挂载点 EnvironmentVar 容器环境变量 ContainerPort 容器端口...

kubernetes--安全上下文（Security Context）

热门推荐

m0_57911290的博客

02-15

1万+

背景：容器中的应用程序默认以root账号运行的，这个root与宿主机root账号是相同的，拥有大部分对Linux内核的系统调用权限，这样是不安全的，所以我们应该将容器以普通用户运行，减少应用程序对权限的使用。启用特权模式就意味着，你要为容器提供了访问linux内核的所有能力，这是很危险的，为了减少系统调用的供给，可以使用Capabilities为容器赋予仅所需的能力。Linux Capabilities：是一个内核级别的权限，它允许对内核调用权限进行更细粒度的控制，而不是简单的以root身份能力授权。

kubernetes安全:RBAC,Security Context,PSP,准入控制器

阿白，

04-29

4439

文章目录RBAC 权限控制前言API 对象RBAC只能访问某个 namespace 的普通用户创建用户凭证创建角色创建角色权限绑定测试只能访问某个 namespace 的 ServiceAccount可以全局访问的 ServiceAccountSecurity Context为 Pod 设置 Security Context为容器设置 Security Context设置 Linux Capabilities什么是 Capabilities如何使用 CapabilitiesDocker Container

Kubernetes【安全】1. SecurityContext 安全上下文

爱死亡机器人

09-11

8019

简介安全上下文（Security Context）定义 Pod 或 Container 的特权与访问控制设置。安全上下文包括但不限于：自主访问控制（Discretionary Access Control）：基于用户 ID（UID）和组 ID（GID）.来判定对对象（例如文件）的访问权限安全性增强的 Linux（SELinux）：为对象赋予安全性标签。以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor：使用程序文件来限制单个程

Kubernetes介绍

I'm the best ！！！

12-18

788

什么是Kubernetes？ Kubernetes是一个完备的分布式系统支撑平台。Kubernetes具有完备的集群管理能力，包括多层次的安全防护和准入机制/多租户应用支撑能力、透明的服务注册和服务发现机制、内建智能负载均衡器、强大的故障发现和自我修复功能、服务滚动升级和在线扩容能力、可扩展的资源自动调度机制，以及多粒度的资源配额管理能力。同时kubernetes提供了完善的管理工具，这些工具覆盖了包括开发、测试部署、运维监控在内的各个环节；因此kubernetes是一个全新的基于容器技术的分布式架构解决方

Kubernetes Pod中的内核参数调整

少说多做

03-05

6468

背景使用uwsgi部署了一个django的应用，并且使用Kubernetes来运行，但是运行以后老是报如下的错误,后来在网上查询了，是一个系统内核参数(net.core.somaxconn)太小了，默认是128.所以需要将它调整大一些。 uwsgi_proto_uwsgi_parser(): Resource temporarily unavailable [proto/uwsgi.c li...

K8S为 Pod 或容器配置安全上下文securityContext,解决Docker容器限制文件句柄数的问题

运维@小兵的博客

09-12

8059

文章目录一、问题浅谈Docker安全性支持二、解决方法`方法一：简单粗暴``方法二：温柔可佳`Capability能力介绍点这里一、问题我需要在容器里面把最大文件句柄数设置为204800，但发现被拒绝。这是Docker自身安全机制导致的浅谈Docker安全性支持二、解决方法方法一：简单粗暴设置容器为特权模式即可,但安全性不高在yaml文件添加如下两行 securityContext: privileged: true kubectl apply -f pod-01.yam

Jenkins X安装过程遇到的几个问题

weixin_34268610的博客

03-27

195

为什么80%的码农都做不了架构师？>>> ...

k8s_SecurityContext(基础)的零散笔记

酱园里一鸭鸭の笔记

05-10

1703

pod.spec.securityContext SecurityContext holds pod-level security attributes and common container settings. Optional: Defaults to empty. See type description for default values of each field. pod运行时，其中的容器可以被提权为节点管理员，需要禁止这种行为。 pod.spec.containers.pod_name.s

kubernetes（k8s）yaml文件详解

weixin_33752045的博客

10-30

2903

#yaml格式的pod定义文件完整内容： apiVersion:v1#必选，版本号，例如v1 kind:Pod#必选，Pod metadata:#必选，元数据 name:string#必选，Pod名称 namespace:string#必选，Pod所属的命名空间 labels:#...

kubernetes资源对象之security context

LoveSummer

12-21

4122

安全上下文（Security Context）定义 Pod 或 Container 的的权限和访问控制。安全上下文包括但不限于：自主访问控制（Discretionary Access Control）：基于用户 ID（UID）和组 ID（GID）. 来判定对对象（例如文件）的访问权限。安全性增强的 Linux（SELinux：为对象赋予安全性标签。以特权模式或者非特权模式运行。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 AppArmor：使用程序

理解OpenShift（4）：用户及权限管理

weixin_34212189的博客

12-08

985

理解OpenShift（1）：网络之 Router 和 Route 理解OpenShift（2）：网络之 DNS（域名服务）理解OpenShift（3）：网络之 SDN 理解OpenShift（4）：用户及权限管理理解OpenShift（5）：从 Docker Volume 到 OpenShift Persistent Volume ** 本文基于 OpenShift 3.11...