分享
扫一扫
超级会员免费看
Etaon
这个作者很懒,什么都没留下…
展开
-
CKS学习笔记-镜像安全ImagePolicyWebhook
官网:https://www.notion.so/etaon/ImagePolicyWebhook-6b7d52ff6b474d168688698cea046905#991170999fd84532aa6354ade5ccb0dd什么是准入控制插件?准入控制器是一段代码,它会在请求通过认证和授权之后、对象被持久化之前拦截到达 API 服务器的请求。控制器由下面的列表组成, 并编译进 kube-apiserver 二进制文件,并且只能由集群管理员配置。 在该列表中,有两个特殊的控制器原创 2021-12-23 17:37:29 · 1155 阅读 · 0 评论 -
CKS学习笔记-Sysdig
sysdig它是一个强大的开源工具,用于系统级别的勘察和排障,它的创建者在介绍它时称之为“strace+tcpdump+lsof+上面点缀着lua樱桃的绝妙酱汁”。抛开幽默不说,sysdig的最棒特性之一在于,它不仅能分析Linux系统的“现场”状态,也能将该状态保存为转储文件以供离线检查。更重要的是,你可以自定义sysdig的行为,或者甚至通过内建的(你也可以自己编写)名为凿子(chisel)的小脚本增强其功能。单独的凿子可以以脚本指定的各种风格分析sysdig捕获的事件流。sysdig安装:cur原创 2021-12-18 14:43:57 · 1149 阅读 · 0 评论 -
CKS学习笔记--AppArmor
介绍AppArmor(Application Armor)是Linux内核的一个安全模块,AppArmor允许系统管理员将每个程序与一个安全配置文件关联,从而限制程序的功能。简单的说,AppArmor是与SELinux类似的一个访问控制系统,通过它你可以指定程序可以读、写或运行哪些文件,是否可以打开网络端口等。作为对传统Unix的自主访问控制模块的补充,AppArmor提供了强制访问控制机制,它已经被整合到2.6版本的Linux内核中。目前Ubuntu已自带了Apparmor。AppArmor配置文原创 2021-12-14 13:26:08 · 1474 阅读 · 0 评论 -
CKS学习笔记-Secret 练习
官网有关信息https://kubernetes.io/zh/docs/concepts/configuration/secret/概述什么是SecretSecret 是一种包含少量敏感信息例如密码、令牌或密钥的对象。 这样的信息可能会被放在 Pod 规约中或者镜像中。 使用 Secret 意味着你不需要在应用程序代码中包含机密数据。由于创建 Secret 可以独立于使用它们的 Pod, 因此在创建、查看和编辑 Pod 的工作流程中暴露 Secret(及其数据)的风险较小。 Kubernetes 和原创 2021-10-21 22:50:46 · 256 阅读 · 0 评论 -
CKS学习笔记-Audit 审计 练习
审计FEATURE STATE: Kubernetes v1.22 [beta]官网链接:https://kubernetes.io/zh/docs/tasks/debug-application-cluster/audit/Kubernetes 审计(Auditing) 功能提供了与安全相关的、按时间顺序排列的记录集, 记录每个用户、使用 Kubernetes API 的应用以及控制面自身引发的活动。审计功能使得集群管理员能够回答以下问题:发生了什么?什么时候发生的?谁触发的?活动发生在哪原创 2021-10-20 14:51:31 · 439 阅读 · 0 评论 -
CKS学习笔记- PodSecurityPolicy练习
什么是PodSecurityPolicy?PodSecurityPolicy是一个内置的许可控制器,它允许集群管理员控制Pod规范的安全敏感方面。首先,在集群中创建一个或多个PodSecurityPolicy资源,以定义pod必须满足的需求。然后,创建RBAC规则来控制哪个PodSecurityPolicy应用于给定的pod。如果pod满足其PSP的要求,它将像往常一样被允许进入集群。在某些情况下,PSP还可以修改Pod字段,有效地为这些字段创建新的默认值。如果Pod不符合PSP要求,它将被拒绝,并且原创 2021-10-19 21:33:58 · 471 阅读 · 0 评论 -
CKS学习笔记-NetworkPolicy练习
网络策略官网解释https://kubernetes.io/zh/docs/concepts/services-networking/network-policies/:如果希望在 IP 地址或端口层面(OSI 第 3 层或第 4 层)控制网络流量, 则可以考虑为集群中特定应用使用 Kubernetes 网络策略(NetworkPolicy)。 NetworkPolicy 是一种以应用为中心的结构,允许你设置如何允许 Pod 与网络上的各类网络“实体” 通信。Pod 可以通信的 Pod 是通过如下原创 2021-10-18 18:53:07 · 323 阅读 · 0 评论 -
CKS学习笔记-ServiceAccount练习
本实验实现不给服务账号自动挂载 API 凭据并应用到PodService AccountKubernetes 区分用户账户和服务账户的概念主要基于以下原因:• 用户账户是针对人而言的。 服务账户是针对运行在 pod 中的进程而言的。• 用户账户是全局性的。 其名称在集群各 namespace 中都是全局唯一的,未来的用户资源不会做 namespace 隔离, 服务账户是 namespace 隔离的。• 通常情况下,集群的用户账户可能会从企业数据库进行同步,其创建需要特殊权限,并且涉及到复杂的业务流原创 2021-10-11 14:40:28 · 284 阅读 · 0 评论 -
CKS学习笔记-CIS基准及使用
概述CIS安全基准互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。官网: cisecurity.orgKubernetes CIS基准: Resources • Platforms • Kuberneteskube-bench互联网安全中心为保护代码的最佳实践提供了许多指南和基准测试。CIS 发布了Kubernetes的基准,即对这些测试的新开源实现:kube-bench。它是作为 Go 应用程序原创 2021-10-09 14:07:27 · 980 阅读 · 0 评论