k8s_Node节点安全基线

最新推荐文章于 2023-12-24 14:19:21 发布
最新推荐文章于 2023-12-24 14:19:21 发布
阅读量1k 收藏 2
点赞数 1
分类专栏: # 基线加固 文章标签: kubernetes 基线
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/qq_36531487/article/details/122193734
版权

k8s Node节点安全基线

访问控制

1.高危-确保–anonymous-auth参数设置为false

描述:
启用后,未被其他配置的身份验证方法拒绝的请求将被视为匿名请求。 然后,这些请求由Kubelet服务器处理。 您应该依靠身份验证来授权访问并禁止匿名请求

加固建议:
在每个节点上编辑<kubelet_config>文件,并将KUBELET_ARGS参数设置为
--anonymous-auth = false

2.高危-确保 --make-iptables-util-chains 参数设置为 true

描述:
允许 Kubelet 管理 iptables。
Kubelets 可以根据您为 pod 选择网络选项的方式自动管理对 iptables 的所需更改。 建议让 kubelets 管理对 iptables 的更改。 这确保 iptables 配置与 pods 网络配置保持同步。 使用动态 pod 网络配置更改手动配置 iptables 可能会妨碍 pod/容器与外部世界之间的通信。 您的 iptables 规则可能过于严格或过于开放。
影响:Kubelet 将管理系统上的 iptables 并保持同步。
如果您正在使用任何其他 iptables 管理解决方案,那么可能会有一些冲突(如业务冲突,确保功能完整的情况下考虑加白处理)。

加固建议:
如果使用 Kubelet 配置文件,请编辑该文件(/var/lib/kubelet/config.yaml)以设置 makeIPTablesUtilChains: true。 如果使用命令行参数,请编辑每个工作节点上的 kubelet 服务文件 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 设置KUBELET_SYSTEM_PODS_ARGS 变量(删除 --make-iptables-util-chains 参数或设置为true)。 根据您的系统,重新启动 kubelet 服务

文件权限

3.高危-确保 kubelet 服务文件权限设置为 644 或更多限制

描述:
kubelet 服务文件控制着设置 kubelet 服务在工作节点中的行为的各种参数。 您应该限制其文件权限以维护文件的完整性。 该文件应该只能由系统管理员写入。

加固建议:
确保kubeadmin文件的权限为644

使用chmod 644 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 命令修正文件权限

使用stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf Verify命令可查看权限

4.高危-确保 kubelet 服务文件所有权设置为 root:root

描述:
kubelet 服务文件控制着设置 kubelet 服务在工作节点中的行为的各种参数。你应该确保他的文件所属者被正确的设置

加固建议:

执行命令
chown root:root /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 修改文件拥有者

stat -c %U:%G /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 查看是否修改成功

5.高危-确保 --kubeconfig kubelet.conf 文件权限设置为 644 或更多限制

描述:
kubelet.conf 文件是节点的 kubeconfig 文件,它控制着设置工作节点行为和身份的各种参数。 您应该限制其文件权限以维护文件的完整性。 该文件应该只能由系统上的管理员写入

加固建议:

执行命令chmod 644 /etc/kubernetes/kubelet.conf 修改文件权限
通过命令stat -c %a /etc/kubernetes/kubelet.conf可查看配置文件权限

6.高危-确保 kubelet --config 配置文件的权限设置为 644 或更多限制

描述:
kubelet 从 --config 参数指定的配置文件中读取各种参数,包括安全设置。 如果指定了此文件,则应限制其在系统上的文件权限

加固建议:
执行命令 chmod 644 /var/lib/kubelet/config.yaml
修改文件权限 stat -c %a /var/lib/kubelet/config.yaml 可以查看文件权限

7.高危-确保 kubelet --config 配置文件所有权设置为 root:root

描述:
kubelet 从 --config 参数指定的配置文件中读取各种参数,包括安全设置。如果指定了此文件,则应限制其文件权限以保持文件的完整性。该文件应归 root:root 所有。

加固建议:

执行命令 chown root:root /var/lib/kubelet/config.yaml 修改文件权限
执行命令 stat -c %U:%G /var/lib/kubelet/config.yaml 可以查看文件所属者

身份鉴别

8.高危-确保–authorization-mode参数未设置为AlwaysAllow

描述:
默认情况下,Kubelet允许所有经过身份验证的请求(甚至是匿名请求),而无需来自apiserver的明确授权检查。 您应该限制这种行为,并且只允许明确授权的请求
未经授权的请求将被拒绝。

加固建议:
编辑<kubelet_启动文件> 添加/修改为–authorization-mode = Webhook或其他值 要求–authorization-mode的值不能为AlwaysAllow

zhangwenbo1229
关注
  • 1
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
k8s node节点监控
06-08
k8s node节点监控,可以显示node节点信息,监控node集群节点的状态
kubelet全部参数整理
kismile
12-13 4697
文章目录相关连接基本参数kubelet 所有参数items 对kubernetes感兴趣的可以加群885763297,一起玩转kubernetes 相关连接 #mem相关参数 https://github.com/kubernetes/community/blob/master/contributors/design-proposals/node/kubelet-eviction.md#enf...
kubelet源码学习(一):kubelet工作原理、kubelet启动过程
最新发布
hxt的博客
12-24 1574
本文基于Kubernetes v1.22.4版本进行源码学习。
kubernetes源码阅读笔记——Kubelet(之二)
weixin_30758821的博客
05-21 158
这一篇文章我们先从NewMainKubelet开始。 一、NewMainKubelet cmd/kubelet/kubelet.go // NewMainKubelet instantiates a new Kubelet object along with all the required internal modules. // No initialization of Kub...
kubernetes kubelet参数
全栈工程师开发手册(原创)https://github.com/tencentmusic/cube-studio
12-11 5815
概要 kubelet 是运行在每个节点上的主要的“节点代理”,每个节点都会启动kubelet进程,用来处理Master节点下发到本节点的任务,按照PodSpec描述来管理Pod和其中的容器(PodSpec 是用来描述一个 pod 的 YAML 或者 JSON 对象)。 kubelet 通过各种机制(主要通过 apiserver )获取一组 PodSpec 并保证在这些 PodSpec 中描述的容器...
Amonzon EKS Worker节点垃圾回收相关
linux_s2018的博客
06-27 167
K8S NODES 磁盘相关
kubernetes1.5新特性:kubelet API增加认证和授权能力
热门推荐
容器技术爱好者
12-22 1万+
一、背景介绍 在Kubernetes1.5中,对于kubelet新增加了几个同认证/授权相关的几个启动参数,分别是: 认证相关参数: •       anonymous-auth参数:是否启用匿名访问,可以选择true或者false,默认是true,表示启用匿名访问。 •       authentication-token-webhook参数:使用tokenreviewAPI来进行令牌认
k8s安全01--云安全简介
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
04-18 963
k8s安全01--云安全简介1 基础概念1.1什么是安全1.2 基础安全原则2 说明 在云时代更加普遍的今天,云安全也逐被各大厂商关注,因此有必要了解常见的云安全知识。 通过本文,可以理解安全处理的过程、基础安全准则、常见攻击类型,能够检测云安全里面的 4C(code, container, cluster, cloud),研究安全机构和安全资源。 1 基础概念 1.1什么是安全 计算机安全指的是对计算机或者计算机系统的某个项目或者资产价值的保护;这里的资产有很多种类,包括硬件、软件、数据、程序、员工,以及
K8S 安全风险和加固建议 —— 筑梦之路
筑梦之路
05-10 861
在部署过程中,容器和 Pod 需要相互通信,并与其他内、外部端点也进行通信才能正常运行。如果某个容器被破坏,攻击者可影响的环境范围与该容器的通信范围直接相关,这意味着与该容器通信的其他容器以及 Pod 可能会遭受攻击。当我们在正在运行的容器中检测到潜在威胁时,不仅要停止该容器并重新启动未被破坏的版本,还必须确保修复信息能够应用到新的容器镜像中,以安全地重新配置应用。我们需要确保使用定期扫描、安全、已批准的基础镜像来构建容器镜像,并仅使用白名单镜像注册中心中的镜像来启动 Kubernetes 环境中的容器。
Kubernetes kubelet 源码架构及启动流程深入剖析-Kubernetes商业环境实战
weixin_30919235的博客
08-25 484
专注于大数据及容器云核心技术解密,可提供全栈的大数据+云原生平台咨询方案,请持续关注本套博客。如有任何学术交流,可随时联系。更多内容请关注《数据云技术社区》公众号。 1 kubelet 代码目录 kubernetes/cmd/kubelet部分主要对运行参数进行定义和解析,初始化和构造相关的依赖组件(主要在kubeDeps结构体中)。kubelet运行的详细逻辑,该部分位于kubernetes...
kubelet源码 删除pod(一)
qq_35679620的博客
11-22 2406
kubelet删除pod源码分析
k8s_ssl.tar.gz
01-17
用于在部署kubernetes时创建ca证书会使用到的json文件,方便以后部署,里面包含有apiserver 、etcd、kube-controller-manager、kubectl、kubeletkube-proxy、kube-scheduler组件创建ca证书时使用的json文件
k8s_workernode_setup
02-21
k8s_workernode_setup 使用ANSI设置KUBERNETES工作节点
docker_k8s_adm1.15.tar.gz
08-02
docker_k8s_adm1.15.tar.gz
k8s_1.18.3安装包
02-26
k8s_1.18.3安装包
K8S安全风险及防护建议
ZAWX_NETSTARSEC的博客
07-17 924
例如,攻击者可以创建一个特权容器,该容器可以访问宿主机上的资源,并在该容器内执行命令,从而使其获得更高的权限。事中,通过融合图计算、身份欺骗等技术,对K8S进行全方位的监测,及时发现针对K8S的漏洞利用、身份窃取等风险,在遭受攻击的第一时间及时发现攻击者,对攻击行为进行阻断。比如攻击者可通过容器中运行的SSH服务执行命令,如果攻击者通过暴力破解或者其他方法获得了容器的有效凭证,他们就可以通过SSH获得对容器的远程访问。但同时,K8S也因其高度复杂的架构和众多组件,成为了攻击者攻击的目标之一。
k8s 身份验证
discsthnew的博客
03-24 4363
译自官方文档: https://kubernetes.io/docs/admin/authentication/#users-in-kubernetes Users in Kubernetes 认证策略 X509 客户端证书 Static Token File 使用token请求 Bootstrap Tokens 静态密码文件 Service Account Tokens OpenID ...
kube-apiserver参数指标说明
砚墨
05-27 2485
Kubernetes API 配置的作用是 验证API 对象的数据, 这些对象包括 pods、services、replicationcontrollers 等。 为集群的共享状态提供前端, 所有其他组件都通过该前端进行交互 --add-dir-header 如果为 true,则将文件目录添加到日志消息的标题中 --admission-control-config-file string 包含准入控制配置的文件。 --advertise-address ip 向集群成员通知 apiserver 消息的 IP
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描
bolide24的博客
08-19 3816
[K8s Security] 基于Kube-Bench(CIS Benchmark)的自动化安全基线扫描 简介 关于CIS “CIS(Center for Internet Security) 是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像),他们遵循一致的决策制定模型。 CIS 基准是安全配置系统的配置基线和最佳做法。
k8snode节点的dns
03-30
Kubernetes中的节点Node)通常会加入到集群的DNS解析系统中,以便能够通过主机名(hostname)进行访问。每个Node节点都会自动注册到DNS服务中,DNS服务会为每个节点分配一个唯一的域名,该域名由节点的名称和默认...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值