集群scan_扫描k8s集群中的漏洞

最新推荐文章于 2024-05-12 16:32:18 发布
最新推荐文章于 2024-05-12 16:32:18 发布
阅读量664 收藏
点赞数
文章标签: 集群scan
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_29927289/article/details/112676530
版权

Kubei是一个漏洞扫描和CIS Docker基准测试工具,它能够对kubernetes集群进行准确,即时的风险评估。Kubei扫描Kubernetes集群中正在使用的所有图像,包括应用程序Pod和系统Pod的镜像。它不会扫描整个镜像注册表,也不需要与CI / CD进行初步集成。

它是一种可配置的工具,可以定义扫描范围(目标名称空间),速度和关注的漏洞级别,还提供了图形用户界面。

安装要求:

Kubernetes集群已准备就绪,并且已~/.kube/config为目标集群正确配置了kubeconfig

需要的权限

  1. 在集群范围内读取secret。这是用于获取私有镜像仓库的镜像的拉取凭据。
  2. 列出集群范围内的Pod。
  3. 在集群范围内创建job。创建job将扫描其名称空间中的目标容器

部署

---
apiVersion: v1
kind: Namespace
metadata:
  name: kubei
---
apiVersion: v1
kind: ServiceAccount
metadata:
  name: kubei
  namespace: kubei
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRole
metadata:
  name: kubei
rules:
- apiGroups: [""]
  resources: ["secrets"]
  verbs: ["get"]
- apiGroups: [""]
  resources: ["pods"]
  verbs: ["list"]
- apiGroups: ["batch"]
  resources: ["jobs"]
  verbs: ["create","delete"]
---
apiVersion: rbac.authorization.k8s.io/v1
kind: ClusterRoleBinding
metadata:
  name: kubei
subjects:
- kind: ServiceAccount
  name: kubei
  namespace: kubei
roleRef:
  apiGroup: rbac.authorization.k8s.io
  kind: ClusterRole
  name: kubei
---
apiVersion: v1
kind: Service
metadata:
  name: clair
  namespace: kubei
  labels:
    app: clair
spec:
  type: ClusterIP
  ports:
  - port: 6060
    protocol: TCP
    name: apiserver
  - port: 6061
    protocol: TCP
    name: health
  selector:
    app: clair
---
apiVersion: apps/v1
kind: Deployment
metadata:
  name: clair
  namespace: kubei
  labels:
    app: clair
spec:
  replicas: 1
  selector:
    matchLabels:
      app: clair
  template:
    metadata:
      labels:
        app: clair
        kubeiShouldScan: "false"
    spec:
      initContainers:
      - name: check-db-ready
        image: postgres:12-alpine
        command: ['sh', '-c',  'until pg_isready -h postgres -p 5432;  do echo waiting for
最低0.47元/天 解锁文章
leepharos
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
如何使用 Kubescape 扫描 Kubernetes 漏洞
学海无涯苦作舟的博客
12-26 389
Kubescape 是来自 ARMO的新开源工具,可让您自动执行 Kubernetes 集群扫描以识别安全问题。Kubescape 根据NSA 和 CISA发布的强化建议审核您的集群。 以下是安装 Kubescape 并开始扫描集群的方法。定期扫描可以帮助您在问题被攻击者利用之前解决问题。 下载 Kubescape Kubescape 目前作为 Windows、macOS 和 Ubuntu 的预构建二进制文件分发。您可以直接从项目的 GitHub 发布页面下载它。 还有一个自动安装脚本,您可以将其粘贴到终.
老手带你k8s集群实战_
06-21
本课程主要包含k8s集群的安装,k8s各 种资源详细介绍和使用,k8s各种扩展组件的部署和使用,k8s核心功能弹性伸缩演示,k8s持久化存储,k8s代码自动发布,让你真正的能够让你的业务在k8s落地运行!
kube-scan:Kubernetes扫描
05-14
酷比扫描 Kubernetes扫描仪 要求: sudo apt-get install masscan jq curl -y 如何运行: ./kube.sh 192.168.1.0/24 关于 这将扫描您为kubernetes端口10250提供的IP或CIDR,并尝试获取/ pods以将json转储到cfg文件夹的json文件。 您会在测试期间看到错误,但这是由于错误的响应/无效的json而引起的。 使用风险自负。
综合扫描 -- K8scan
weixin_41489908的博客
01-29 1057
你学不进的东西有人学,你不经历的有人经历,你吃不了的苦有人吃,想让人望而生畏,就要拿出常人百倍的野心去奋斗。。。 ---- 网易云热评 ​ 一、软件介绍 K8Cscan一款专用于大型内网渗透的高并发插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,支持批量A段/B段/C段以及跨网段扫描。5.4版本内置28个功能模块,通过各种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、网络共享、网卡物理地址、操作系统版本、网站域名、Web间件、路由器(Cisco)、数据库等网络.
k8s学习-CKS真题-Trivy扫描镜像安全漏洞_使用trivy镜像扫描(1)
最新发布
2401_84971615的博客
05-12 636
自我介绍一下,小编13年上海交大毕业,曾经在小公司待过,也去过华为、OPPO等大厂,18年进入阿里一直到现在。深知大多数网络安全工程师,想要提升技能,往往是自己摸索成长,但自己不成体系的自学效果低效又漫长,而且极易碰到天花板技术停滞不前!因此收集整理了一份《2024年网络安全全套学习资料》,初衷也很简单,就是希望能够帮助到想自学提升又不知道该从何学起的朋友。既有适合小白学习的零基础资料,也有适合3年以上经验的小伙伴深入学习提升的进阶课程,基本涵盖了95%以上网络安全知识点!真正的体系化!
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1077
生产环境k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
k8s进阶4——安全机制常用工具之kube-beach、kube-hunter、Trivy、kubesec
百慕卿君博客
05-24 1115
1、安全机制的概念。 2、kube-beach CIS安全基准工具。 3、kube-hunter集群漏洞扫描工具。 4、Trivy镜像漏洞扫描工具。 5、kubesec检查YAML文件安全配置工具
K8s部署openLooKeng集群
02-26
K8s部署openLooKeng集群,包括使用Dockerfile制作openLooKeng 镜像等
老手带你k8s集群实战_上
06-21
本课程主要包含k8s集群的安装,k8s各 种资源详细介绍和使用,k8s各种扩展组件的部署和使用,k8s核心功能弹性伸缩演示,k8s持久化存储,k8s代码自动发布,让你真正的能够让你的业务在k8s落地运行!
老手带你k8s集群实战_下
06-21
本课程主要包含k8s集群的安装,k8s各 种资源详细介绍和使用,k8s各种扩展组件的部署和使用,k8s核心功能弹性伸缩演示,k8s持久化存储,k8s代码自动发布,让你真正的能够让你的业务在k8s落地运行!
k8s安装Nacos集群
05-21
k8s搭建Nacos集群,制作Nacos镜像 Nacos版本是:2.0.2
prometheus_snyk_exporter:从snyk.io收集安全漏洞指标以用于Prometheus监视
01-30
prometheus_snyk_exporter 通过可观察性确保安全! 该项目将监视项目与安全服务集成在一起。 ,收集有关组织漏洞的汇总信息,并将其公开为普罗米修斯指标。 动机 Snyk服务提供的仪表板已经提供了项目安全漏洞的当前状态的视图。 Snyk还提供了一种企业产品,该产品能够跟踪一段时间内的漏洞数量。 对于许多用户来说,这可能就足够了。 在DNAnexus,我们正在建立可观察性的文化,我们希望此信息可用于我们的内部监控系统。 这样,我们不仅可以跟踪一段时间内的安全漏洞,还可以使用Prometheus设置自己的自定义警报和内部 。 格拉法纳仪表板 提供了Grafana仪表板,以便您可以随时间可视化snyk漏洞(请参阅项目根目录的json文件。)以下是使用虚拟生成数据的仪表板示例: 先决条件 snyk.io帐户。 对于开源项目和扫描量较小的私人项目,它是免费的。 要更频繁地扫描私人项目,可以使用付费计划。 snyk API令牌。 在您的上获取它。 入门 节点JS 注意:需要节点> 7.6才能支持异步/等待。 git clone git@github.com:dna
使用kubeadm搭建高可用的K8s集群_用来搭建k8s高可用集群_多master节点的具体过程.md
12-30
用来搭建k8s高可用集群,haproxy,keepalived,k8s高可用集群搭建过程
k8s集群环境搭建资源
10-27
5. **Service**:Service是k8s的一种对象,它定义了一种访问Pod的方式,通常是通过标签选择器来选择一组Pod。Service提供了稳定的IP和DNS名称,即使Pod实例发生变化,Service仍然可以持续提供服务。 6. **存储**...
K8S高可用集群架构实现
01-27
在生产环境,为了确保服务的连续性和稳定性,构建高可用的K8S集群至关重要。 一个高可用的K8S集群通常包含多个主节点(masters)和工作节点(nodes)。在测试环境,可能只有一个主节点,但在生产环境,至少...
k8s搭建Nacos集群
05-26
k8s搭建Nacos集群,制作Java运行容器镜像,再制作Nacos镜像 Nacos版本是:2.1.0 说明: 如果想搭建:2.2.0也根据文档步骤操作即可
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
关注网络安全、云原生安全
04-16 1051
使用 Trivy 开源容器扫描器检测 namespace kamino Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
关于k8s漏洞报告 CVE-2019-11-255
砚墨
11-27 642
近期Kubernetes社区通过邮件列表发布了与存储CSI相关的漏洞CVE-2019-11255。 具体的安全问题涉及github.com/kubernetes-csi下external-provisioner, external-snapshotter和 external-resizer这三个项目。即在使用KubernetesCSI相关的卷快照(snapshot)、克隆(clone)、调整大...
二十八、K8s最小服务漏洞2-OPA
tushanpeipei的博客
12-15 1854
OPA在K8s和docker的应用
K8s集群监控实战:Prometheus与Grafana全面集成
"本文主要探讨如何使用Prometheus全方位监控Kubernetes(K8s)集群,并与Zabbix进行对比,介绍Prometheus的架构、部署方法、数据可视化以及K8s集群对象的监控告警策略。" 在现代云原生环境,监控系统扮演着至关重要...

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值