十九、K8s集群设置1- kube-bench

最新推荐文章于 2024-04-03 15:43:06 发布
最新推荐文章于 2024-04-03 15:43:06 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 云计算 文章标签: linux K8s CKS kube-bench
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/121324385
版权

一、K8s安全基准条例

CIS(Center for Internet Security),是一个专门制定针对于各种系统、各种知名软件的安全设置标准的组织。地址:https://www.cisecurity.org/

当我们登录注册完账号后,可以获取CIS针对于各个系统、软件设置的基准文档。我们也可以参考这个基准来完成对于K8s或者其他软件系统的评估。
在这里插入图片描述
例如我们下载后,查看其中的内容:
在这里插入图片描述
例如,1.1.8条例说明了我们需要确保etcd pod规范文件的所有权被设置为root:root,并且也给出了具体的设置方法。但是我们可以看到,整个文档有271页,如果我们手动的按照其中的规范进行检测,会特别繁琐。所以,在这里,可以在我们的K8s集群中安装kube-bench这个软件,kube-bench会依据CIA制定的规范,进行扫描,检测出哪些设置是符合或者不符合规范的,方便我们进行修复。

二、实验环境:

在这里插入图片描述

底层系统为ubuntu18.04,然后在每个node上安装k8s,并构建集群。Master node的IP地址为192.168.26.71/24,两个Worker node的IP地址为192.168.26.72/24、192.168.26.73/24。

Ubuntu如何搭建K8s集群,请参考:
https://www.jianshu.com/p/f2d4dd4d1fb1

在创建K8s网络时,可以使用calico完成:

curl https://docs.projectcalico.org/manifests/calico-etcd.yaml -o calico.yaml

接着在master上查看calico.yaml需要哪些镜像:

[root@vms71 ~]# grep image calico.yaml
          image: docker.io/calico/cni:v3.21.0
          image: docker.io/calico/pod2daemon-flexvol:v3.21.0
          image: docker.io/calico/node:v3.21.0
          image: docker.io/calico/kube-controllers:v3.21.0

然后再master上将所有所需镜像pull下来,并打包成tar文件拷贝到2个work nodes上,然后在三台设备上导入回镜像:

docker save calico/cni  calico/kube-controllers calico/node calico/pod2daemon-flexvol >  calico-3.21-img.tar

scp calico-3.21-img.tar vms72:~
scp calico-3.21-img.tar vms73:~

docker load -i calico-3.21-img.tar

在三台设备上使用docker images查看加载是否成功。然后在master修改calico.yaml文件,并安装:

vim calico.yaml

搜索192.168.0.0,修改为初始化集群时pod的10.244.0.0/24即可:

- name: CALICO_IPV4POOL_CIDR
  value: "10.244.0.0/16"

修改保存后在master设备上使用如下命令安装calico:

kubectl apply -f calico.yaml

三、使用Kube-bench检测系统安全

下载地址:https://github.com/aquasecurity/kube-bench/tags,可以选择自己所需要的版本,不同的版本检测的基于的CIS基准有所区别。

首先,我们现在目前最新的v0.6.5做检测,然后选择一个契合自己系统的包下载即可:
在这里插入图片描述
下载完成后导入到我们的master node上,然后使用如下命令进行安装:

sudo dpkg -i kube-bench_0.6.5_linux_amd64.deb

然后进入到/etc/kube-bench/cfg目录下,查看其中包含的基准信息:

root@vms71:/etc/kube-bench/cfg# ls
ack-1.0  aks-1.0  cis-1.20  cis-1.5  cis-1.6  config.yaml  eks-1.0  gke-1.0  rh-0.7  rh-1.0

例如我们查看cis-1.6版本的基准信息,不同的yaml文件定义了不同组件的检测基准信息:

root@vms71:/etc/kube-bench/cfg/cis-1.6# ls
config.yaml  controlplane.yaml  etcd.yaml  master.yaml  node.yaml  policies.yaml

返回上级目录,我们还可以看到config.yaml文件,其中定义了K8s各个组件需要检测的配置信息的名称与路径。接下来可以使用如下的命令来检测信息:

root@vms71:/etc/kube-bench# kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml run --targets=master

注意–config-dir pwd/cfg指定了当前目录下的cfg文件的位置,–config指定了config.yaml文件的位置,–targets则是指定了我们需要检测的内容,可以是etcd、master、node(也就是worker)、controlplane、policies。例如,我们现在要检测master的信息,执行完上述命令后,在最后的summary处,可以看到最终的检测结果。

== Summary master ==
42 checks PASS
11 checks FAIL
11 checks WARN
0 checks INFO

== Summary total ==
42 checks PASS
11 checks FAIL
11 checks WARN
0 checks INFO

结果显示,有11个checks是FAIL,有42个checks是PASS。查看检查报告,标注为FAIL的则是检查失败的地方,可以看到,其中有一个检查失败的编号是1.2.20。
在这里插入图片描述
接着查看1.2.20对应的详细报告,可以确定问题出在哪个yaml文件中:
在这里插入图片描述
修改对应的yaml文件,按照要求添加值为false的–profiling参数:
在这里插入图片描述
修改保存后,重启kubectl,再重新检查:

systemctl restart kubelet

可以看到,1.2.20已经检查通过:
在这里插入图片描述
最后,需要注意的是,我们测试时使用的是0.6.5版本的kube-bench,需要去指定各种文件的位置。如果版本比较低的话,例如是0.3.5,则直接使用命令检查,不需要指定各种文件的位置:

kube-bench etcd/master/node/controlplane/policies

参考资料:
《老段CKS课程》

格洛米爱学习
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 0
    评论
专栏目录
Go-kube-bench用于检查Kubernetes是否安全部署的Go应用
08-13
Kubernetes安全平台是一个Go应用程序,通过运行CIS Kubernetes 1.6 Benchmark v1.0.0中记录的检查来检查Kubernetes是否安全部署。
k8s集群安装kube-prometheus kube-prometheus安装脚本
07-07
Kubernetes(k8s集群中安装`kube-prometheus`是监控系统的重要步骤,它提供了全面的集群监控解决方案,包括Prometheus、node-exporter、kube-state-metrics、Grafana等组件。`kube-prometheus`是Prometheus的...
CKSk8s安全基准工具:kube-bench
DwanCloud
03-20 1129
CKSkube-bench介绍以及基础使用
Kube-Bench测试总结
qq_42944740的博客
03-23 997
Kubernetes 协调一个高可用计算机集群,每个计算机作为独立单元互相连接工作。Kubernetes 中的抽象允许将容器化的应用部署到集群,而无需将它们绑定到某个特定的独立计算机。为了使用这种新的部署模型,应用需要以将应用与单个主机分离的方式打包:它们需要被容器化。与过去的那种应用直接以包的方式深度与主机集成的部署模型相比,容器化应用更灵活、更可用。Kubernetes 以更高效的方式跨集群自动分发和调度应用容器。Kubernetes 是一个开源平台,并且可应用于生产环境。
kubernetes安全检测工具-kube-bench
匹夫之怒
09-13 300
kube-bench是基于go语言开发、一款针对kubernetes进行安全检测的工具,主要是检测kubernetes集群的各个组件的配置,确认配置文件是否符合安全基线标准,输出检测报告,并给出修复建议,从而使kubernetes集群更加健壮安全。
Kubernetes实战(十三)-使用kube-bench检测Kubernetes集群安全
sre救赎之路
12-12 1332
CIS()是一家致力于网络安全的非营利组织。它提供一系列针对各种操作系统和应用程序的基线安全标准,这些标准被广泛认可,是防止网络攻击的有效手段。CIS基准是由美国计算机互联网安全中心(Center for Internet Security,简称CIS)制定的一系列全球公认的最佳实践标准,用于保护系统和数据免受威胁。这些基准包括了各种技术平台和系统的配置指南,例如操作系统、网络设备、移动设备、服务器应用等。CIS基准提供了详细的步骤来保护特定系统,每个步骤都有清晰的说明和建议。
k8s-dns-kube-dns-amd64-1.14.8
09-26
k8s-dns-kube-dns-amd64镜像,镜像使用方法: docker load -i k8s-dns-kube-dns-amd64-1.14.8.tar.gz
kube-vip实现k8s高可用集群搭建.pdf
01-12
kube-vip实现k8s高可用集群搭建 kube-vip是Kubernetes集群的高可用性解决方案,通过使用VIP(Virtual IP)来实现Kubernetes集群的高可用性。本文将详细介绍如何使用kube-vip实现Kubernetes高可用集群搭建。 环境...
K8S资源对象监控kube-state-metrics-2.0.0镜像及资源清单文件
12-22
原文链接:https://blog.csdn.net/m0_37814112/article/details/122041607 说明:K8S资源对象监控kube-state-metrics-2.0.0镜像文件及资源清单文件
k8s cni 网络组件kube-ovn脚本
09-25
kube-ovn1.4稳定版本一个能成功安装完成的脚本,release1.4分支上的脚本目前不能安装成功。
microk8s-kube-bench:使用kube-bench分析的MicroK8
02-21
CIS的MicroK8sKubernetes安全基准 目标和可交付成果 MicroK8使用kube-bench分析了CIS基准。 该存储库实现了100%自动化的工作流程(通过 + ),可在Ubuntu(作为Github CI / CD工作者运行)上安装Microk8s。 然后部署并执行Kube-bench,以获得对该Kubernetes集群配置的分析。 关于Github CI / CD的最新执行报告附后。 该工作流程计划通过cron指令每天执行:它可以在检查新的快照(请参见下文)。 欢迎提出所有改进或扩展建议。 拉取请求也一样! MicroK8s Canonical的是单包装,完全一致且轻量级的Kubernetes发行版,可在多种Linux上使用。 它针对开发人员工作站,IoT,Edge和CI / CD。 该纯上游发行版易于管理,具有当日跟踪新发行版(由根项目生成的补丁)的功
kube-bench:根据CIS Kubernetes基准测试中定义的安全最佳实践检查是否已部署Kubernetes
02-04
kube-bench是一个Go应用程序,它通过运行记录的检查来检查Kubernetes是否已安全部署。 测试是使用YAML文件配置的,因此随着测试规范的发展,该工具易于更新。 请注意 kube-bench尽可能紧密地实现。 如果kube-bench未按照基准所述正确执行测试,请在此处提出问题。 要报告基准测试本身的问题(例如,您认为不合适的测试),请加入。 Kubernetes版本与CIS基准测试版本之间没有一对一的映射。 请参阅以了解的不同版本涵盖了哪些Kubernetes版本。 使用kube-bench无法检查托管集群的主节点,例如GKE,EKS和AKS,因为它无法访问此类节点,尽管
CKSk8s安全基准工具:kube-bench,字节跳动网络安全金三银四解析
最新发布
2401_83947434的博客
04-03 701
ux运维、云计算、MySQL、PMP、网络安全、Python爬虫、UE5、UI设计、Unity3D、Web前端开发、产品经理、车载开发、大数据、鸿蒙、计算机网络、嵌入式物联网、软件测试、数据结构与算法、音视频开发、Flutter、IOS开发、PHP开发、.NET、安卓逆向、云计算**
kube-bench初体验
小雨的博客
01-11 691
k8s 加固 ,audit工具
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 601
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
开源工具:Kube-bench【详解】
高性价比服务器就选:蓝易云
05-09 237
Kube-bench使用yaml格式的检查配置文件,支持单个节点或整个集群的检查,可输出多种格式的报告,包括json、csv和文本等,方便用户进行结果分析和漏洞修复。Kube-bench是一种针对Kubernetes集群的开源安全检查工具,旨在帮助用户识别集群中存在的安全风险和配置问题,并提供修复建议。其中,--config-dir指定kube-bench的配置目录,--version指定集群Kubernetes版本。1.下载kube-bench二进制文件。3.安装kube-bench
kube-bench 工具说明
多头注意力探索Now
09-11 290
安全检测工具
怎么在k8s集群安装operator-Prometheusv0.12版本
05-20
安装Prometheus Operator v0.12在Kubernetes集群中,可以按照以下步骤进行操作: 1. 首先,需要安装Helm。Helm是一种Kubernetes包管理工具,用于简化Kubernetes应用程序的部署和管理。可以从官方网站下载安装程序,或者使用包管理器进行安装。 2. 接下来,需要添加 Prometheus Operator Chart 仓库。可以使用以下命令添加: ``` helm repo add prometheus-community https://prometheus-community.github.io/helm-charts helm repo update ``` 3. 然后,可以使用以下命令安装 Prometheus Operator: ``` helm install prometheus-operator prometheus-community/kube-prometheus-stack --version "9.4.5" ``` 这将在Kubernetes集群中安装Prometheus Operator v0.12。安装完成后,可以通过以下命令查看安装的资源: ``` kubectl get all -n monitoring ``` 其中,`monitoring`是安装Prometheus Operator时指定的命名空间。 注:如果您的集群版本不支持Prometheus Operator v0.12,可以尝试安装较早版本的Operator。(例如,v0.11)

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值