CKS认证-kube-bench CIS 基准测试

最新推荐文章于 2024-09-12 17:37:20 发布
最新推荐文章于 2024-09-12 17:37:20 发布
阅读量601 收藏 16
点赞数 16
分类专栏: CKS认证考试 文章标签: kubernetes docker 容器
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/m0_46913617/article/details/141000594
版权

3. kube-bench CIS 基准测试

问题:

Context
针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。
Task
通过配置修复所有问题并重新启动受影响的组件以确保新设置生效。
修复针对 API服务器发现的所有以下违规行为: 新版考试这个可能已经删除了

这个题目这里我就不更新了,怕误导大家,下面答案中有相关实例,大家可以参考一下!!!
:::info
尽可能使用 Webhook 身份验证/授
:::
修复针对 etcd 发现的所有以下违规行为:

正确答案:

注注注大意了啊!这个模拟环境中没有这几个字段
image.png
1、如果有–insecure-bind-address 这个字段:
答:如果写了not set 不需要设置了,那么你就直接删除即可,不要去做修改哈,谢谢
2、–insecure-port参数设置为0:
答:这个你就去题目中找到这个字段,改为0就行。如果没有这个字段,那么你就添加上

  1. 修复针对 API服务器发现的所有以下违规行为:

注意:
在修改已有文件前,必须备份该文件,防止修改有问题。需要备份到/tmp下,别直接备份到相同路径下,防止有问题。
root@hk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/
做下一题之前,确保所有的 pod 都是 Running特别是 kube-apiserver-master01 也正常。(考试时,也要确保这个 apiserver 是正常的

root@hk8s-master01:~# cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/
root@hk8s-master01:~# vim /etc/kubernetes/manifests/kube-apiserver.yaml /tmp/
apiVersion: v1
kind: Pod
metadata:
  labels:
    component: kube-apiserver
    tier: control-plane
   name: kube-apiserver
   namespace: kube-system
 spec:
   containers:
   - command:
     - kube-apiserver
     - --authorization-mode=Node,RBAC   ##把AlwaysAllow改为Node和RBAC
  1. 修复针对 Kubelet 发现的所有以下违规行为

注意:
在修改文件之前一定要先备份,备份,备份。不要忘。。。千万不要在/etc/kubernetes/下备份,可能会导致异常,可以备份到/tmp 目录下。
如果你找不到这个kubelet的配置文件,你千万记住这个路径,会告诉你这个文件的路径:
cat /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 中你也会看到 Environment=“KUBELET_CONFIG_ARGS=–config=/var/lib/kubelet/config.yaml”。

注大意了啊:master和node都需要改kubelet的配置
#注意:
webhook:
cacheTTL: 0s
enabled: true
这个字段可能默认没有,需要自己添加,考试的时候自己注意下

root@hk8s-master01:~# cp /var/lib/kubelet/config.yaml /tmp
root@hk8s-master01:~# cd /var/lib/kubelet/
root@hk8s-master01:/var/lib/kubelet# vim config.yaml 
apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous:   #修改 anonymous 下的,将 true 改为 false
    enabled: true    #将 true 改为 false
  webhook:
    cacheTTL: 0s
    enabled: true    #注意:尽可能使用 Webhook 身份验证/授权。如果这里是false那你一定要修改为true,否则和题目不对应了
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt
 authorization:    #修改 authorization 下的
   mode: Webhook   #改为 Webhook
   webhook:
  1. 修复针对 etcd 发现的所有以下违规行为
root@hk8s-master01:~# cp /etc/kubernetes/manifests/etcd.yaml /tmp
root@hk8s-master01:~# vim /etc/kubernetes/manifests/etcd.yaml
  1 apiVersion: v1 
  2 kind: Pod 
  3 metadata:
  7   labels: 
  8     component: etcd
  9     tier: control-plane
 10   name: etcd    
 11   namespace: kube-system
 12 spec:             
 13   containers:      
 14   - command:        
 15     - etcd           
 18     - --client-cert-auth=true  #修改为 true
  1. 编辑完后重新加载配置文件,并重启 kubelet

systemctl daemon-reload
systemctl restart kubelet
查看状态,上面这个结果是不行的,必须等到下面查询结果出来之后才可以
image.png
然后ssh 到从节点, 修改kubelet, 修改⽅法⼀样(这一步骤待定,不确定是否需要修改)

vim /var/lib/kubelet/config.yaml
systemctl daemon-reload
systemctl restart kubelet

狗哥运维
关注
  • 16
    点赞
  • 16
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
KubernetesK8s、CKS 认证实战班(安全专家),视频+文档资料
CKS】考试之 kube-bench CIS 基准测试
sinat_33076015的博客
09-05 350
kube-bench CIS 基准测试
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
u014481728的博客
10-25 1987
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
k8s-CKS真题-CIS基准测试与安全扫描
关注网络安全、云原生安全
04-16 961
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
CKS之k8s安全基准工具:kube-bench
DwanCloud
03-20 1225
CKSkube-bench介绍以及基础使用
十九、K8s集群设置1- kube-bench
tushanpeipei的博客
11-15 1780
kube-bench在K8s中的使用
Kubernetes kube-bench命令强化K8S 安全详解
爱死亡机器人
06-15 1864
文章目录1. 简介2. 注意3. CIS Kubernetes Benchmark支持4. 工具下载5.安装5.1 容器中安装5.2 源码安装6. 运6.1 容器中运6.2 二进制运7. 实战7.1 检查master7.2 检查node 1. 简介 Kube-Bench是一款针对Kubernete的安全检测工具,从本质上来说,Kube-Bench是一个基于Go开发的应用程序,它可以帮助研究人员对部署的Kubernete进安全检测,安全检测原则遵循CIS Kubernetes Benchmark。
CKS1.23 考试题整理(13)-kube-bench修复
april_4的博客
04-25 1083
题目 针对kubeadm创建的 cluster运CIS基准测试工具时,发现了多个必须立即解决的问题。 通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效 参考 Kubelet 配置 (v1beta1) | Kubernetes 解答 1 apiserver kube-bench master 修改 /etc/kubernetes/manifests/kube-apiserver.yaml,改前最好保存一下 修改 - --authorization-mode=..
2024年网安最全CKS之k8s安全基准工具:kube-bench
m0_54903333的博客
05-03 967
输出结果分为不同的部分,每部分检查 Kubernetes 的特定安全性方面,比如 API 服务器的配置、控制器管理器、调度器等。type: 该项的处理方式(manual、skip、info) #对于某些无法自动检查的项目,可以设置type=manual,kube-bench就会跳过该项并给出WARN警告。1.1.12项“确保 etcd 数据目录权限设置为 700 或更严格 (自动化)”显示为“FAIL”,意味着当前的权限设置不够严格,可能需要进权限的修改来加强安全性。
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
10-19
文件标题提到了“kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf”,其中“CKS”指的是Certified Kubernetes Security Specialist(认证Kubernetes安全专家),这是一个由Linux基金会(Linux Foundation...
CKS学习笔记-CIS基准及使用
weixin_43394724的博客
10-09 884
概述 CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网: cisecurity.org Kubernetes CIS基准: Resources • Platforms • Kubernetes kube-bench 互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试CIS 发布了Kubernetes基准,即对这些测试的新开源实现:kube-bench。 它是作为 Go 应用程序
k8s 容忍和污点
最新发布
batman
09-12 468
该值定义尽量避免将Pod调度到存在其不能容忍的Taint的节点上,但并不是强制的,也就是说,一个没有配置Toleration的Pod会优先部署至其他节点,没有其他可以调度的节点时,还是可以部署到effect为PreferNoSchedule的节点上的,NoSchedule没有这种机制。如果未被过滤的Taint中不存在effect值为NoExecute的Taint,但是存在effect值为PreferNoSchedule的Taint,则Kubernetes会尝试将Pod分配到该节点。
k8s Helm
巧克力人生的博客
09-08 1042
了解HelmHelm是kubernetes中查找、分享、构建应用的最佳方式。Helm是一个Kubernetes应用的包管理工具,用来管理chart(一种预先配置好的安装包资源),有点类似于Ubuntu 的APT和CentOS/Rocky中的YUM。因此,helm的出现解决了k8s应用管理能力缺失的问题。另外Helm也是dev和ops的桥梁,运维人员在使用Helm的时候,一方面不需要理解大量在Chart中的各种k8s元素,只需要配置少量的环境变量即可安装;
k8s API资源对象
巧克力人生的博客
09-06 719
如果想直接通过k8s节点的IP直接访问到service对应的资源,可以使用NodePort,Nodeport对应的端口范围:30000-32767。这种方式,需要配合公有云资源比如阿里云、亚马逊云来实现,这里需要一个公网IP作为入口,然后来负载均衡所有的Pod。该方式为默认类型,即,不定义type字段时(如上面service的示例),就是该类型。说明:Taint叫做污点,如果某一个节点上有污点,则不会被调度运pod。使用yaml文件来配置、部署资源对象。作用:对外提供访问端口。
StreamPark集成k8s运Flink
weixin_45249411的博客
09-08 511
1.然后在有docekr的机器上登录。2.设置下命名空间(左侧)
Kubernetes】K8s 的鉴权管理(二):基于属性 / 节点 / Webhook 的访问控制
书山有路,学海无涯。记录成长,追逐梦想
09-10 1231
基于属性的访问控制(Attribute-Based Access Control,ABAC)通过将属性组合在一起来定义用户可以访问的范围。其策略文件是一个具有多 JSON 格式的文件,该文件中的每一都是一个策略(即一个 JSON 对象)。
培训第九周(部署k8s基础环境)
weixin_70693880的博客
09-07 1495
添加sandbox_image = "registry.cn-hangzhou.aliyuncs.com/google_containers/pause:3.9"(第128)之前采⽤初始化安装⽅式,所有的系统组件均以容器的⽅式运⾏ 并且在 kube-system 命名空间内,此时可以查看 Pod(容器 组)状态。overlay # ⽤于⽀持Overlay⽹络⽂件系统的模块,它可以在现有的⽂件系统之上创建叠加层,以实现虚拟化、隔离和管理等功能。设置为0表示不产⽣panic,设置为1表示产⽣panic。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值