CKS
文章平均质量分 74
CKS考试认证
lady_killer9
CKA、CKS证书持有者,安全工程师
展开
-
k8s学习-CKS真题-Context安全上下文
在spec下面添加(考试时可能已有securityContext)修改deployment。原创 2023-05-08 20:33:08 · 671 阅读 · 0 评论 -
k8s学习-CKS真题-Dockerfile和deployment优化
分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody。分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。并修复在文件中拥有突出的安全/最佳实践问题的两个字段。只修改即可,不需要创建。原创 2023-04-01 10:26:56 · 1011 阅读 · 7 评论 -
k8s-CKS真题-k8s安全策略PodSecurityPolicy
可以看到有个Warning提示,1.25版本之后就没有psp了,之后这个考题可能变动。或者使用yaml文件。原创 2023-05-10 19:42:56 · 410 阅读 · 0 评论 -
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)原创 2023-04-16 12:02:35 · 985 阅读 · 1 评论 -
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描
启用ImagePolicyWebhook插件,确认–admission-control-config-file选项已有配置文件并挂载。把defaultAllow由true改为false。考试时应该已经挂载,可以检查一下,没有自行添加。在cluster下添加server。修改api-server配置文件。做题的时候按照以下顺序。不完整的准入配置文件。修改kube配置文件。原创 2023-05-17 20:25:26 · 1186 阅读 · 0 评论 -
k8s学习-CKS真题-日志审计 log audit
-audit-log-path 指定用来写入审计事件的日志文件路径。不指定此标志会禁用日志后端。- -audit-log-maxsize 定义审计日志文件轮转之前的最大大小(兆字节)- -audit-log-maxbackup 定义要保留的审计日志文件的最大数量。- -audit-log-maxage 定义保留旧审计日志文件的最大天数。- -audit-policy-file 指定审计策略文件。修改kube-apiserverl.yaml配置文件。原创 2023-05-18 19:41:11 · 798 阅读 · 0 评论 -
k8s学习-CKS真题-Runtime设置gVisor
由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置。添加以下内容到配置中,与runc对齐。重启containerd。原创 2023-04-08 10:42:52 · 1691 阅读 · 5 评论 -
k8s-CKS真题-故障排查Sysdig & falco
博主下载的sysdig-0.31.5-x86_64.tar.gz,之后把可执行文件移动即可。请注意,考试时,考题里已表明 sysdig 在工作节点上,所以你需要。看了一下,是操作系统层面的问题,直接在模拟环境下做题了。在下方github参考链接的Release下载即可。查看tomcat123 pod是否存在。ubuntu 安装sysdig。如果没有docker,使用。查看一下falco是否安装。使用sysdig做检测。如果都没有,可以使用。写一个falco规则。原创 2023-05-13 14:59:27 · 2557 阅读 · 6 评论 -
k8s学习-CKS真题-TLS安全配置
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。原创 2023-05-17 20:40:32 · 1018 阅读 · 1 评论 -
k8s-CKS真题-CIS基准测试与安全扫描
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)原创 2023-04-16 12:01:13 · 812 阅读 · 0 评论 -
k8s学习-CKS真题-利用AppArmor进行应用行为限制
在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。查看配置文件,加载配置文件,查看加载的配置中是否有对应profile。最后,应用清单文件并创建其中指定的 Pod。原创 2023-05-13 14:59:56 · 767 阅读 · 0 评论 -
k8s学习-CKS真题-secret创建、使用
Task在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt 的文件中。注意:你必须创建以上两个文件,他们还不存在。注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。在 istio-system namespace 中创建一个名为 db2-test 的新原创 2023-03-12 09:32:25 · 589 阅读 · 0 评论 -
k8s学习-CKS真题-Pod指定ServiceAccount
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。原创 2023-02-04 16:06:26 · 1046 阅读 · 0 评论 -
k8s学习-CKS真题-网络策略精细化控制
解释:对于dev-team命名空间下标签打了run=products-service的Pod的如流量进行限制,打了kubernetes.io/metadata.name=qaqa标签的命名空间下的Pod都可以访问,打了environment=testing标签的Pod都可以访问。创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。创建products-service。原创 2023-03-04 19:30:01 · 1237 阅读 · 3 评论 -
k8s学习-CKS真题-RoleBinding
生成web-pod.yaml,修改添加serviceAccountName,之后创建。查找service-account-web绑定的role。原创 2023-02-05 09:30:09 · 837 阅读 · 0 评论 -
k8s学习-CKS真题-网络策略拒绝流量
【代码】k8s学习-CKS真题-网络策略拒绝流量。原创 2023-02-25 10:58:38 · 613 阅读 · 0 评论 -
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。原创 2023-04-22 10:49:43 · 965 阅读 · 0 评论 -
k8s学习-CKS考试必过宝典
使用用户工作负载的静态分析(例如kubernetes资源,Docker文件)在主机和容器级别执行系统调用进程和文件活动的行为分析,以检测恶意活动。保护您的供应链:将允许的注册表列入白名单,对镜像进行签名和验证。检测物理基础架构,应用程序,网络,数据,用户和工作负载中的威胁。设置适当的OS级安全域,例如使用PSP, OPA,安全上下文。谨慎使用服务帐户,例如禁用默认设置,减少新创建帐户的权限。检测攻击的所有阶段,无论它发生在哪里,如何扩散。考后24小时会收到结果,祝大家考试成功!原创 2023-06-12 21:47:34 · 1207 阅读 · 0 评论