三十二 、K8s审计

最新推荐文章于 2023-12-07 15:20:00 发布
最新推荐文章于 2023-12-07 15:20:00 发布
阅读量1.7k 收藏 2
点赞数
分类专栏: 云计算 文章标签: K8s audit 审计 CKS
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/tushanpeipei/article/details/121988235
版权

一、集群环境

在这里插入图片描述
底层系统为ubuntu18.04,然后在每个node上安装k8s,并构建集群。Master node的IP地址为192.168.26.71/24,两个Worker node的IP地址为192.168.26.72/24、192.168.26.73/24。

二、K8s审计概念

1.什么是K8s审计
我们知道,K8s系统管理员可以创建多个K8s账号,并赋予不同的权限分发给其他需要操作K8s环境的人。那么如果K8s系统管理员想要去查看具体这些K8s用户在K8s中做了哪些操作,则需要使用K8s审计功能(默认情况下K8s并没有启用审计)。

Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。

审计记录最初产生于 kube-apiserver 内部。每个请求在不同执行阶段都会生成审计事件;这些审计事件会根据特定审计策略被预处理并写入后端。策略确定要记录的内容和用来存储记录的后端。每个请求都可被记录其相关的 阶段(stage)。

2.审计策略
审计政策定义了关于应记录哪些事件以及应包含哪些数据的规则。 审计策略对象结构定义在 audit.k8s.io API 组 处理事件时,将按顺序与规则列表进行比较。

在审计策略中需要注意如下几天点。设置什么时候记:

  1. RequestReceived - 审计处理程序收到请求后立即生成的事件阶段,持续到它被委派到处理程序链之前;
  2. ResponseStarted - 在响应消息的头部发送后,响应消息体发送前生成的事件。 只有长时间运行的请求(例如 watch)才会生成这个阶段;
  3. ResponseComplete - 当响应消息体完成并且没有更多数据需要传输的时候;
  4. Panic - 当 panic错误发生时生成。

需要记什么:

  1. None - 符合这条规则的日志将不会记录;
  2. Metadata - 记录请求的元数据(请求的用户、时间戳、资源、动词等等), 但是不记录请求或者响应的消息体;
  3. Request - 记录事件的元数据和请求的消息体,但是不记录响应的消息体。 这不适用于非资源类型的请求;
  4. RequestResponse - 记录事件的元数据,请求和响应的消息体。这不适用于非资源类型的请求。

3.审计后端
审计后端实现将审计事件导出到外部存储。Kube-apiserver 默认提供两个后端:

  1. Log 后端,将事件写入到文件系统;
  2. Webhook 后端,将事件发送到外部 HTTP API。

三、K8s审计实验

1.准备工作
使用一台K8s集群外的设备作为K8s的客户端,我这里使用的是一台ubuntu。需要保证能够和集群中的master通信。

接着在其上安装kubelctl客户端工具:

apt-get install -y  kubectl=1.22.0-00

回到master设备上,将testuser的kubeconfig文件kc1(kc1如何创建,请查看:https://blog.csdn.net/tushanpeipei/article/details/121877797?spm=1001.2014.3001.5501)拷贝到ubuntu客户端上。并使用如下命令赋予testuser k8s管理员的权限:

root@vms71:~/authentication# kubectl create clusterrolebinding cbind1 --clusterrole=cluster-admin --user=testuser
clusterrolebinding.rbac.authorization.k8s.io/cbind1 created

接下来,testuser用户就可以在ubuntu客户端上对我们部署的K8s集群进行操作了:

root@vms75:~# kubectl get nodes --kubeconfig=kc1
NAME            STATUS   ROLES                  AGE   VERSION
vms71.rhce.cc   Ready    control-plane,master   16d   v1.22.0
vms72.rhce.cc   Ready    <none>                 16d   v1.22.0
vms73.rhce.cc   Ready    <none>                 16d   v1.22.0

2.创建审计策略

在master的/etc/kubernetes/目录下设置审计的文件audit-policy.yaml,内容如下:

apiVersion: audit.k8s.io/v1 # This is required.
kind: Policy
# Don't generate audit events for all requests in RequestReceived stage.
omitStages:
  - "RequestReceived"
rules:
  # Log pod changes at RequestResponse level
  - level: RequestResponse
    users: ["testuser"]
    resources:
    - group: ""
      # Resource "pods" doesn't match requests to any subresource of pods,
      # which is consistent with the RBAC policy.
      resources: ["pods"]

  # Log the request body of configmap changes in kube-system.
  - level: Request
    resources:
    - group: "" # core API group
      resources: ["configmaps"]
    # This rule only applies to resources in the "kube-system" namespace.
    # The empty string "" can be used to select non-namespaced resources.
    namespaces: ["kube-system"]

可以看到,此规则主要是记录的是RequestReceived这个阶段产生的信息,请求从上往下开始匹配,只要匹配到了就会被记录。记录的信息针对pods、configmaps资源。其中某些资源的信息仅仅只包含我们所指定的命名空间,如kube-system。
同时,我们在规则中使用了users指定了特定testuser的对pods的记录才会被查看。

3.设置审计后端并开启审计

这里以log的方式记录审计数据。在master上,首先修改vim /etc/kubernetes/manifests/kube-apiserver.yaml文件,在command命令下设置记录使用的审计策略和记录的log文件的位置。如下所示:

 - --audit-policy-file=/etc/kubernetes/audit-policy.yaml
 - --audit-log-path=/var/log/audit.log

还需要通过 hostPath 卷来访问策略文件和日志文件所在的目录(因为kube-apiserver以容器方式运行,需要将其log信息保存到宿主机中,同时访问宿主机的审计配置文件),这样审计记录才会持久保存下来。挂载数据卷:

volumeMounts:
  - mountPath: /etc/kubernetes/audit-policy.yaml
    name: audit
    readOnly: true
  - mountPath: /var/log/audit.log
    name: audit-log
    readOnly: false

最后配置 hostPath:

- name: audit
  hostPath:
    path: /etc/kubernetes/audit-policy.yaml
    type: File
- name: audit-log
  hostPath:
    path: /var/log/audit.log
    type: FileOrCreate

重启kubelet使配置生效:

systemctl restart kubelet.service

配置完成后,我们进行最后的测试。

4.审计测试
登录到ubuntu的客户端,使用testuse去访问K8s集群中的pods等资源:

root@vms75:~# kubectl get pods --kubeconfig=kc1
No resources found in default namespace.
root@vms75:~# kubectl get configmaps -n kube-system --kubeconfig=kc1
NAME                                      DATA   AGE
calico-config                             4      16d
cert-manager-cainjector-leader-election   0      15d
cert-manager-controller                   0      15d
coredns                                   1      16d
extension-apiserver-authentication        6      16d
kube-proxy                                2      16d
kube-root-ca.crt                          1      16d
kubeadm-config                            1      16d
kubelet-config-1.22                       1      16d

完成后,返回到master上,查看日志文件:

cat /var/log/audit.log

可以看到,已经以json的格式记录到了很多日志信息。比如这一条就是testuer对于configmaps查询的信息:
在这里插入图片描述
后续我们可以借助各种日志分析软件分析这些信息,提取我们需要的内容。

整理资料来源:
K8s audit:https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/
《老段CKS课程》

格洛米爱学习
关注
  • 0
    点赞
  • 2
    收藏
    觉得还不错? 一键收藏
  • 打赏
    打赏
  • 1
    评论
专栏目录
mysql8.0审计插件Mcafee安装详解
01-12
mysql8.0审计插件Mcafee安装详解
audit-kubernetes:k8s审计
02-04
公开版简介 Trail of Bits使用GitHub进行许多评论; 我们签入客户端源代码,我们的源代码,屏幕截图,注释和&c。 到单个存储库,并通过GitHub协调我们的工作。 例如,我们通过以下问题审查了各种网络方案: 我们有一个系统来标记严重性,所需的帮助等信息,从而使评估团队可以在一个位置查找与项目有关的任何信息。 此外,我们经常邀请客户进入我们的资源库,使他们对项目状态的了解水平与我们相同。 我们决定开放此评估的存储库,展示我们的工作,编写的注释,并允许社区查看我们在评估过程中采取了什么方向。 资料库的重点 存储库中有一些社区可能感兴趣的领域: Bobby的的可帮助用户部署本地测试
Linux系统实战项目——sudo日志审计
最新发布
m0_74282605的博客
12-07 423
由于企业内部权限管理启用了sudo权限管理,但是还是有一定的风险因素,毕竟运维、开发等各个人员技术水平、操作习惯都不相同,也会因一时失误造成误操作,从而影响系统运行。因此,征对sudo提权的操作,便于管理与后续维护,开启sudo日志审计功能对用户执行 sudo命令的操作行为,但又不记录其它命令的操作行为。1、syslog全部操作日志审计,此种方法信息量大,不便查看。检查是否安装两种服务,如果没有安装,就使用下面的命令进行安装。2、sudo日志配合syslog服务进行日志审计
【Unified Auditing】统一审计的进程架构体系
SQLplusDB的小院
10-31 1584
介绍Unified Auditing的架构体系中的进程介绍
Kubernetes 审计
cl18707602767的博客
05-03 348
在 Kubernetes 集群中,API Server 的审计日志可以帮助集群管理人员记录和追溯不同用户的日常操作,是集群安全运维中重要的环节。
k8s审计日志
fourierr的博客
05-03 1347
k8s在 v1.7 版本中发布了审计Audit)日志功能,审计Audit)提供了时序操作记录(包括时间、来源、操作结果、发起操作的用户、操作的资源以及请求/响应的详细信息等)。K8s 中的审计日志是标准的 JSON 格式,APIServer 会根据具体的日志策略将对应的审计日志保存本地,并可以设置最大保存周期、时间、轮转策略等,一般在/var/log/kube-apiserver目录下。
kubernetes--kubernetes审计日志(api访问日志)
m0_57911290的博客
03-25 1956
在Kubernetes集群中,API Server的审计日志记录了哪些用户、哪些服务请求操作集群资源,并且可以编写不通规则,控制忽略、存储的操作日志。审计日志采用JSON输出,每条日志报包含丰富的元数据,例如请求的URL、HTTP的方法、客户端来源登,你可以使用监控服务来分析API流量,以检测趋势或可能存在的安全隐患。管理节点(controller-manager scheduler)工作节点(kubelt、kube-proxy)集群服务(CoreDNS、Calico、HPA等)
Kubernetes APIServer安全 审计日志
小楼一夜听春雨,深巷明朝卖杏花
07-31 2121
What are Kubernetes audit logs? Audit logsrecord requests to theKubernetes API. Because the API server processes all changes to Kubernetes state—and serves as the gatekeeper to the backend database that stores this state—the API server is an ideal po.....
k8s审计
柠是柠檬的檬的博客
08-19 894
k8s审计
K8s进阶7——Sysdig、Falco、审计日志
百慕卿君博客
05-28 2252
1、Sysdig收集分析系统调用,配合Chisels工具使用实战。 2、Falco监控容器运行时,编写监控策略+web页面展示实战。 3、审计日志策略编写+实战
k8s-audit-collector:该项目支持对kubernetes集群中的多租户进行隔离的高级审核
05-19
k8s-审计收集器 抽象的 该项目支持对kubernetes集群中的多个租户进行隔离的高级审核。 动机和目标 从kubernetes 1.7开始,kubernetes支持。 借助流利的/ logstash kubernetes集群管理员可以收集审核事件并将其分发给不同的用户。 可以在找到kubernetes社区介绍的指南。 用户将可以通过文件或网页访问自己的审核事件。 但是,通过这种实现,群集管理员需要配置额外的身份验证器以支持租户隔离。 例如,管理员需要文件共享服务和向租户分发用户名/密码。 如果管理员使用Elasticsearch之类的工具来实现访问控制,那么同样的问题仍然存在,并且管理员需要维护另一个身份验证器以及kubernetes自己的身份验证器。 K8s-audit-collector为用户提供了一种更加用户友好的方式。 它使用租户的获取呼叫者的身份,并根据用户的服务帐户授予
CKS 认证实战班视频课程2022
03-09
第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 第6章 模块五:供应链安全 第7章 模块六:监控、审计和运行时安全 第8章 考前辅导 第9章 谈谈Linux系统安全...
Docker搭建私有仓库之Harbor的步骤
01-09
 Harbor是构建企业级私有docker镜像的仓库的开源解决方案,它是Docker Registry的更高级封装, 它除了提供友好的Web UI界面,角色和用户权限管理,用户操作审计等功能外,它还整合了K8s的插件(Add-ons)仓库,即Helm...
二、K8s Cluster详细安装步骤
tushanpeipei的博客
07-01 5238
K8s实验环境: 一个manager,2个worker node的centos7,保证互相能够通信: 一、准备步骤: 步骤1.关闭三台设备selinux和设置防火墙 selinux需要将修改/etc/selinux/config文件,将SELINUX设置为disable; # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforci
十三、K8s SVC相关操作
tushanpeipei的博客
07-09 4779
实验环境: 按照图示部署好了K8s集群,一个Master,两个worker nodes。 一、SVC概述: 所以Kubernetes Service定义了这样一种抽象:一个Pod的逻辑分组,一种可以访问它们的策略 ——通常称为微服务。这一组Pod能够被Service访问到,通常是通过Label Selector。用户仅需要访问 Service,Service能够提供负载均衡的能力,能够将用户流量分配到背后的pod上去。 Service能够提供负载均衡的能力,但是在使用上有以下限制: 只提供 4 层负载均
二十三、K8s集群强化1-认证
tushanpeipei的博客
12-12 4507
通过K8s认证保证集群的安全性
十七、K8s+gitlab+Jenkins建立CI/CD解决方案
tushanpeipei的博客
07-13 4381
一、什么是CI/CD: CI:可持续集成 CD:可持续交付\可持续部署 具体含义请参考:https://blog.csdn.net/tushanpeipei/article/details/118082462?spm=1001.2014.3001.5501 CI/CD环境流程图: 二、实验环境总览: 本次实验仅存在测试部署环境。 实验流程: 步骤1: 程序员将代码编辑完成后推到代码仓库GitLab里; 步骤2: CI Tool Jenkins将Gitlab里的代码代码打包成镜像; 步骤3: Jenkin
一、K8s基础概念
tushanpeipei的博客
06-30 4275
整理资料来源: https://kubernetes.io/docs/tutorials/kubernetes-basics/
二十七、K8s最小服务漏洞1-PSP
tushanpeipei的博客
12-15 4118
PSP在K8s中的运用
k8s审计功能怎么配置
03-13
对于这个问题,我可以回答。Kubernetes的审计功能可以...审计策略文件可以定义哪些请求需要被审计,以及审计日志的格式等信息。需要注意的是,启用审计功能会对系统性能产生一定影响,因此需要根据实际情况进行配置。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

格洛米爱学习

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值