OpenShift Security (4) - 查看集群中镜像的安全漏洞

已于 2024-06-25 19:40:57 修改
阅读量529 收藏
点赞数
分类专栏: DevOps 安全 OpenShift 4 文章标签: kubernetes 容器 安全
于 2021-12-08 11:52:21 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/121779833
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 78 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
本文在 OpenShift 4.15+ACS 4.4.3 环境中进行验证。

容器的安全漏洞来自镜像,红帽 ACS 产品是根据 http://definitions.stackrox.io/ 对其管理的 OpenShift 或 Kubernetes 集群上的镜像进行安全漏洞扫描。

进入 ACS 的 “Vlunerability Management”-“Dashboard” 可以从各角度查看镜像中包含的安全漏洞。可以点击进入下图右上方 “TOP RISKIEST IMAGES” 区域的 “VIEW ALL”。
在这里插入图片描述
可以看到所有有安全漏洞的 IMAGES 列表,然后进入表中的 “quay.io/rhacs-demo/visa-processor:sidecar-latest-v2”。
在这里插入图片描述
在以下页面查看 “quay.io/rhacs-demo/visa-processor:sidecar-latest-v2” 镜像中包含的安全漏洞分布。
在这里插入图片描述
展开 “Dockerfile” 可以区域,可以查看到构建镜像的每一步及其相关的 CVEs 数量。
在这里插入图片描述
在 “Image Findings” 区域中进入 “CVE-2021-2350”(或其他 CVE),在漏洞的说明页面中查看它的详细信息,然后点击上方的返回箭头。
在这里插入图片描述
点击上图右侧 “Related entities” 区域中的 “3 DEPLOYMENTS” 可进入下图页面,可以看到和这个 CVE 相关的 Kubernetes 部署分布。
在这里插入图片描述

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
OpenShift — Overview
烟云的计算
11-27 1723
目录 文章目录目录前言OpenShift v3 — 将 Kubernetes “企业” 化选择 Kubernetes集群实现多用户、多应用应用部署更简单、更安全运行多类型的应用负载应用程序外部访问OpenShift v4.0 — 从构建平台到运营平台使用 Prometheus + Grafana 进行管理和监控使用 Kubernetes Operators & CRDs 管理服务用 Kubernetes 安装升级 Kubernetes在不可变基础架构上部署 Kubernetes集群版本隔空更新(O
集群scan_扫描k8s集群的漏洞
weixin_29927289的博客
01-14 683
Kubei是一个漏洞扫描和CIS Docker基准测试工具,它能够对kubernetes集群进行准确,即时的风险评估。Kubei扫描Kubernetes集群正在使用的所有图像,包括应用程序Pod和系统Pod的镜像。它不会扫描整个镜像注册表,也不需要与CI / CD进行初步集成。它是一种可配置的工具,可以定义扫描范围(目标名称空间),速度和关注的漏洞级别,还提供了图形用户界面。安装要求:...
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 612
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
OpenShift Security - 利用Log4j漏洞攻击容器(附视频)
多恩斯基的博客
12-24 1934
利用Log4j漏洞攻击容器需要有2个条件,1)Java应用包含受到漏洞影响的Log4j。2)带有“JNDI 注入”的运行环境。 以下在 2 个节点上进行验证: 在 172.17.0.30 上执行以下命令,运行带有 “JNDI 注入” 的环境。 $ curl -OL https://github.com/giterlizzi/JNDIExploit/releases/download/v1.2/JNDIExploit.zip $ unzip JNDIExploit.zip $ java -jar JND
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
多恩斯基的博客
07-28 378
在 RHACS 自带丰富的安全策略,可以帮助用户实现从镜像容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift 4 - 提升客户端访问 API Server 安全
多恩斯基的博客
04-20 944
OpenShift / RHEL / DevSecOps 汇总目录》 文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考 kubeconfig 文件的作用 OpenShiftKubernetes 的客户端每次向 OpenShiftKubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录
OpenShift 3.11单机安装和使用
twingao的专栏
05-30 4147
安装 建议系统内存>=6G,CPU>=4。在hosts添加主机名。 vi /etc/hosts 192.168.1.42 os-node 开启SELINUX。 vi /etc/selinux/config # This file controls the state of SELinux on the system. # SELINUX= can take one of these three values: # enforcing - SELinux security policy
openshift4.7 DHCP方式在线安装
老菜的博客
04-09 1707
本文描述openshift4.7 baremental 在线安装方式,我的环境是 vmwamre esxi 虚拟化,也适用于其他方式提供的虚拟主机或者物理机。 本环境 3mater,2 worker 部署环境介绍 本此部署使用资源 方案还是采用高可用,比官方多了一个base节点,用来搭建部署需要的dns,pxe 等服务,这台系统用Centos7.6,因为centos解决源比较方便,等熟悉部署及所需安装包后可以换成RHEL。 其他机器都用RHCOS,就是coreos专门针对openshift的操作系统版本。通
openshift 学习笔记-6 secret and quota
vito
10-18 3975
容器是在linux命名空间和CGroup的基础上,通过SELinux限制容器进程对资源的读取访问或限制容器的容量。容器安全隔离已经达到了生产可用级别。 容器安全涉及到多个层面:1、容器自身安全;2、容器镜像安全;3、宿主机安全; 1、用户认证openshift通过OAuth进行用户认证,OAuth是一个开源的认证和授权框架,OAuth通过用户登录认证以后,返回一个token,用户可以在有效的时间内
Openshift 上运行nginx
最新发布
weixin_41251391的博客
05-26 412
看log会发现pod没运行起来,原因是nginx 容器需要用root权限去运行,然而openshift为了安全,默认情况下不会让用户以root去运行,而非root用户没有权限开启nginx的80端口,导致报错;Deployment 在k8s和openshift 平台都有,DeploymentConfig k8s 平台上没有,所以选Deployment ,在k8s 上也可以兼容;为什么 OpenShift 集群运行 ngxin (1) 成功, 然而 OpenShift 集群运行 ngxin(2) 失败。
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
多恩斯基的博客
04-01 472
workspace PVC: petclinic-build-workspace maven-settings Config Map: maven-settings oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .
OpenShift Security (10) - 用红帽高级集安全产品监控容器运行的安全违规操作(附视频)
多恩斯基的博客
12-18 1506
OpenShift 4.x HOL教程汇总》 本文已在 OpenShift 4.9 + RHACS 测试验证。 文章目录场景说明查看 Runtime 策略部署测试应用在容器增加用户,然后查看风险 场景说明 RHACS 对于容器安全 policy 可以施加于 Build、Deploy 和 Runtime 三个不同阶段。在《OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署》使用了作用于 Deploy 阶段的 Policy 来阻止有安全风险
OpenShift 4 - 如何利用“风险镜像+配置漏洞”攻击应用 Secret(附视频)
多恩斯基的博客
10-07 668
》本文在 OpenShift 4 和 Kubernetes 1.20 环境进行验证。
openshift集群安全机制
vito
05-18 1010
一、用户认证 authentication openshift通过OAuth进行用户的认证,OAuth是一个开源的认证和授权框架,在openshift的master节点上运行着一个内置的OAuth服务对用户的请求进行认证检查,通过认证的用户,会返回一个token令牌。获取token的api地址为: https://cluster.example.com:8443/oauth/token/req...
k8s集群安全机制理解
运维求生之路
03-07 486
一、认证(Authentication): HTTP Token认证(单向认证) HTTP Base认证:用户名密码(单向认证) HTTPS证书认证:基于CA双向认证(最安全,最佳) 一、组件与ApiServer通信两种类型 Controller Manager和Scheduler因为在本机,通常不需要CA kubectl、kubelet、kube-proxy访问API Server需要CA证书...
OpenShift 4 - 安全上下文 SecurityContext
多恩斯基的博客
12-15 1513
Security Context 什么是安全上下文(Security Context) 安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。管理员可以使用Security Context 定义运行的Pod是否有以下权限: Pod 能否运行特权容器。 Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。 将主机目录当做卷使用。 容器的 SELinux 上下文。 基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问
OpenShift 健康检查
天天 debug
05-25 2015
一、健康检查方式在OpenShift的Deployment Config,用户可以定义两种健康检查方式:Readiness Probe:检查应用是否已经就绪(原因是当应用刚刚开始启动的时候,应用需要进行其所依赖资源的准备工作,列如 加载class、获得数据连接 等等),OpenShift通过检查Readiness Probe接口,只有在确认服务就绪后,才会将外界的流量转发至服务。如果检测失败之...
红帽宣布推出红帽OpenShift 4.9和红帽Kubernetes高级集群管理2.4
永远在学习Linux之路上
11-03 216
红帽宣布推出红帽OpenShift 4.9和红帽Kubernetes高级集群管理2.4。这两个新版本旨在提高开源混合云的一致性,进一步扩展企业网络的覆盖范围。 日前,红帽宣布推出红帽OpenShift 4.9和红帽Kubernetes高级集群管理2.4。这两个新版本旨在提高开源混合云的一致性,进一步扩展企业网络的覆盖范围。新功能包括全面适用于小型、全功能企业级Kubernetes集群的单节点OpenShift,有助于企业扩展现有的开发、部署和管理工作流,以满足对信息和服务的更多需求。 红帽平台业务
OpenShift 4 - 使用 OpenShift 入门教程和免费试用环境
多恩斯基的博客
12-12 2471
OpenShift 4.x HOL教程汇总》 红帽在 “https://developers.redhat.com/learn” 为开发人员提供了大量的产品使用教程以及免费试用环境。 进入上图 “OpenShift 4.9 Playground” 后将创建 OpenShift 运行环境,完成后进入下图的 “Start” 即可进入 OpenShift 试用环境。 在下图的 “Terminal 1” 区域执行以下命令获得 OpenShift 控制台的访问地址,然后可用 admin/admin 登录 Ope
OpenShift 4.4 集群更新指南
"OpenShift Container Platform 4.4 更新集群" OpenShift Container Platform 4.4 是一个基于容器的应用程序平台,它允许企业部署、管理和扩展应用程序。此文档详细介绍了如何在不同版本之间更新OpenShift ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值