CIS基准测试工具kube-bench使用

已于 2022-07-06 21:25:31 修改
阅读量868 收藏
点赞数
分类专栏: CKS 文章标签: 测试工具
于 2022-07-05 22:21:36 首次发布
《署名-非商业性使用-禁止演绎 4.0 国际》许可协议 https://creativecommons.org/licenses/by-nc-nd/4.0/
本文链接:https://blog.csdn.net/omaidb/article/details/125629159
版权

CIS基准测试工具kube-bench使用

CIS安全基准

在这里插入图片描述
CIS官网: https://www.cisecurity.org/
K8S CIS基准: https://www.cisecurity.org/benchmark/kubernetes


CIS基准测试工具kube-bench

在这里插入图片描述
项目地址: https://github.com/aquasecurity/kube-bench


kube-bench基本使用

# 查看kube-bech的使用参数
kube-bench --help

在这里插入图片描述


测试项目配置文件

/etc/kube-bench/cfg/是kube-bench的项目测试配置文件的目录.
在这里插入图片描述


测试master

kube-apiserver配置参考地址: https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kube-apiserver/
kube-apiserver配置文件:/etc/kubernetes/manifests/kube-apiserver.yaml

# 对master进行测试
kube-bench run -s master

# 对master进行测试并只显示FAIL
kube-bench run -s master|grep FAIL

测试node

Kubelet配置参考地址: https://kubernetes.io/zh-cn/docs/reference/command-line-tools-reference/kubelet/

Kubelet配置文件:/etc/kubernetes/kubelet.conf

# 对node进行测试
kube-bench run -s node

修改完Kubelet配置文件后,需要重启kubelet服务

# 重载服务
systemctl daemon-reload

# 重启kubelet服务
systemctl restart kubelet

测试ETCD

ETCD配置文件:/etc/kubernetes/manifests/etcd.yaml

# 对etcd进行测试
kube-bench run -s etcd
识途老码
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
microk8s-kube-bench使用kube-bench分析的MicroK8
02-21
CIS的MicroK8s和Kubernetes安全基准目标和可交付成果 MicroK8使用kube-bench分析了CIS基准。 该存储库实现了100%自动化的工作流程(通过 + ),可在Ubuntu(作为Github CI / CD工作者运行)上安装Microk8s。 然后...
Go-kube-bench用于检查Kubernetes是否安全部署的Go应用
08-13
6. **版本控制**:压缩包中的"aquasecurity-kube-bench-b649588"可能表示特定版本的Go-kube-bench,确保用户可以使用稳定和经过测试的代码库。 使用Go-kube-bench进行安全评估,可以帮助Kubernetes管理员遵循最佳...
kubernetes CIS 安全基准 Kube-bench 安全工具
sxpnp的博客
01-09 981
如有问题,以你为准
使用Kube-Bench对Kubernetes进行安全检测
codelearning的专栏
06-13 1049
kube-bench是一款强大的工具,它可以帮助我们发现哪些Kubernetes配置没有遵循CIS的最佳实践,从而改正这些问题,增强我们的Kubernetes集群的安全性。虽然kube-bench不能捕获所有可能的安全问题,但它至少可以帮助我们消除最常见的一些安全漏洞。
CKS之k8s安全基准工具:kube-bench
DwanCloud
03-20 1165
CKS之kube-bench介绍以及基础使用
开源工具系列7:Kube-bench
wolaisongfendi的博客
05-08 1261
Kube-Bench 是一个基于Go开发的应用程序,属于 Kubernete 的安全检测的工具。它可以帮助研究人员对部署的 Kubernete 进行安全检测。
2024年网安最全CKS之k8s安全基准工具:kube-bench
m0_54903333的博客
05-03 931
输出结果分为不同的部分,每部分检查 Kubernetes 的特定安全性方面,比如 API 服务器的配置、控制器管理器、调度器等。type: 该项的处理方式(manual、skip、info) #对于某些无法自动检查的项目,可以设置type=manual,kube-bench就会跳过该项并给出WARN警告。1.1.12项“确保 etcd 数据目录权限设置为 700 或更严格 (自动化)”显示为“FAIL”,意味着当前的权限设置不够严格,可能需要进行权限的修改来加强安全性。
第一章 CIS 安全基准-kube-beach
三成的博客
11-04 494
k8s安全
【CKS】考试之 kube-bench CIS 基准测试
sinat_33076015的博客
09-05 324
kube-bench CIS 基准测试
CKS之k8s安全基准工具:kube-bench,字节跳动网络安全金三银四解析
2401_83947434的博客
04-03 725
ux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
【云原生-K8s】Kubernetes安全组件CIS基准kube-beach安装及使用
起而行动,方能平定心中的惶恐
10-31 2048
为了保证集群以及容器应用的安全,Kubernetes 提供了多种安全机制,限制容器的行为,减少容器和集群的攻击面,保证整个系统的安全性。互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案官网k8s安全基准Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。开源地址。
kube-bench:根据CIS Kubernetes基准测试中定义的安全最佳实践检查是否已部署Kubernetes
02-04
如果kube-bench未按照基准所述正确执行测试,请在此处提出问题。 要报告基准测试本身的问题(例如,您认为不合适的测试),请加入。 Kubernetes版本与CIS基准测试版本之间没有一对一的映射。 请参阅以了解的不同...
kube-bench检查结果
03-19
kube-bench检查结果
kube-flannel.yml
06-30
`说明.txt` 文件可能包含关于如何使用或解释 `kube-flannel.yml` 文件的额外信息,例如部署步骤、注意事项或常见问题解答。 总结来说,`kube-flannel.yml` 是 Kubernetes 集群部署 Flannel 网络插件的关键配置文件...
单元测试--Junit
最新发布
2303_78892316的博客
07-25 735
Junit是Java的单元测试框架提供了一些注解方便我们进行单元测试。
在appium中,如何通过匹配图片来进行断言?
weixin_45754647的博客
07-23 537
在Appium中进行图片匹配断言,可以使用OpenCV来实现。以下是使用Appium和OpenCV进行图片匹配断言的示例代码。
1.Spring Boot 简介(Spring MVC+Mybatis-plus)
m0_61086522的博客
07-23 956
SpringBoot是Spring的子工程(或是spring的脚手架),快速搭建spring项目,自动配置了Spring 应用程序和第三方库(spring+mybaties+web(servlet)+ reids+ 消息中间件),而且使用很少xml配文件,提高开发效率。一款基于mvc模式、请求驱动、轻量级web框架(封装了Servlet)给予MVC模式请求驱动轻量级web框架封装了Servlet程序。
k8s的ns空间kube-system、kube-public、kube-node-lease的作用、
07-14
Kubernetes中有几个特殊的命名空间(Namespace),包括kube-system、kube-public和kube-node-lease。它们各自有不同的作用和功能。 1. kube-system命名空间: - kube-system是Kubernetes的系统命名空间,用于存储和管理Kubernetes集群的核心组件和功能。 - 在kube-system命名空间中,你可以找到诸如kube-apiserver、kube-controller-manager、kube-scheduler、kube-proxy等核心组件的Pod。 - 此外,一些附加的系统级别的服务和工具,如CoreDNS、etcd、Metrics Server等,也可能在kube-system命名空间中运行。 2. kube-public命名空间: - kube-public是一个公共命名空间,对于所有用户(包括非管理员用户)都是可读的。 - 在kube-public命名空间中,可以存储一些集群范围的配置信息、Secrets或ConfigMaps,这些信息对所有用户都是可见的。 3. kube-node-lease命名空间: - kube-node-lease是一个专门用于节点租约(Node Lease)的命名空间。 - 节点租约是一种机制,用于跟踪节点是否正常运行,并防止其他组件错误地将不可用的节点视为可用。 - 在kube-node-lease命名空间中,有一个特殊的Lease对象与每个节点关联,用于确认节点是否可用。 这些命名空间的存在和使用有助于将不同类型的资源进行分类和隔离,并提供了更好的组织和管理集群的能力。 希望这解答了你的问题。如果还有其他疑问,请随时提问。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

识途老码

赞赏是第一生产力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值