OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)

已于 2023-10-10 21:45:26 修改
阅读量423 收藏
点赞数
分类专栏: OpenShift 4 安全 DevOps 文章标签: 安全 DevSecOps 云计算
于 2022-04-01 19:55:40 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_43902588/article/details/123779169
版权
OpenShift 4 同时被 3 个专栏收录
271 篇文章 77 订阅
订阅专栏
DevOps
89 篇文章 3 订阅
订阅专栏
安全
76 篇文章 6 订阅
订阅专栏

OpenShift 4.x HOL教程汇总
说明:本文已经在 OpenShift 4.14 环境中验证

文章目录

调整在 Pipeline 中 Task 使用的镜像源

由于无法从国内直接访问谷歌 gcr.io 网站的镜像,因此需要进入上一步安装在 cicd 项目 “管道”中的 “任务”,然后修改以下 2 个任务中使用的镜像:

  1. dependency-report 任务
    gcr.io/cloud-builders/mvn:3.5.0-jdk-8 改为 docker.io/library/maven:3.5.0-jdk-8

  2. maven 任务
    gcr.io/cloud-builders/mvn 改为 docker.io/library/maven:latest

  3. git-update-deployment 任务
    k8s.gcr.io/kustomize/kustomize:v3.8.7 改为 quay.io/dawnskyliu/kustomize:v3.8.7

用 RHACS 在 CICD 中发现安全违规项目

  1. 在 OpenShift 控制台进入 Pipelines 菜单,然后运行 cicd 项目中的 petclinic-build-dev。
    在这里插入图片描述
  2. 在 Start Pipeline 弹出窗口中按照以下内容为设置 workspace 和 maven-settings 的参数。
    workspace
    ——> PVC: petclinic-build-workspace
    maven-settings
    ——> Config Map: maven-settings
    在这里插入图片描述
  3. 确认运行的 Pipeline 在 image-check 任务提示出错。
    在这里插入图片描述
  4. 可查看 image-check 任务,确认提示有以下 2 类违规问题。其中 “Fixable Severity at least Important” 严重程度为 HIGH,所以没有通过镜像检查。另外还通过 “Red Hat Package Manager in Image” 策略检查出构建好的应用镜像中包含 yum、rpm 等程序,认为有级别为 Low的安全风险。
    注意:由于可能有新的安全漏洞会被发现,因此发现的违规项目可能会更多。
    在这里插入图片描述
  5. 在 RHACS 中的 Violations 中也可找到名为 spring-petclinic 的 Deployment 中的 Fixable Severity at least Important 违规项目。在这里插入图片描述
  6. 进入上图 Fixable Severity at least Important 链接,可以看到违规项目说明。
    在这里插入图片描述

修复安全问题

修复 “Fixable Severity at least Important” 类问题

在 cicd 项目中找到名为 gogs 的路由,然后用浏览器访问路由地址。用 gogs/gogs 登录后编辑修改 spring-petclinic 仓库中的 pom.xml 文件,将 <version> 中的内容改为下图的 “2.2.13.RELEASE”,最后提交保存更改。
在这里插入图片描述
注意:因为有些新发现的安全漏洞不一定立即就有修复方法,如果发现还提示有其它 “Fixable Severity at least Important”,为了能让 CI/CD Pipeline 运行完,可以先在 RHACS 中修改 Fixable Severity at least Important 策略的 Response method,从 Inform and enforce 改为 Inform 即可。
在这里插入图片描述

修复 “Red Hat Package Manager in Image” 类问题

  1. 以下提示在镜像中发现 rpm 和 yum 包管理器,存在一定风险。可以通过右侧的方法删除镜像中的包管理器。
    在这里插入图片描述
  2. 运行以下命令更新名为 s2i-java-11 的任务。
$ oc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd

或者找到名为 s2i-java-11 的任务,然后计加入以下 Step 内容。

    - args:
      - |-
        buildah from --storage-driver=vfs --tls-verify=$(params.TLSVERIFY) '$(params.IMAGE_NAME):$(params.IMAGE_TAG)' > imgname
        
        buildah run --user=root --storage-driver=vfs `cat imgname` -- sh -c 'rpm -e $(rpm -qa *dnf*) $(rpm -qa *libsolv*) $(rpm -qa *hawkey*) $(rpm -qa yum*) $(rpm -qa *dnf*) $(rpm -qa *subscription-manager*)'
        
        buildah run --user=root --storage-driver=vfs `cat imgname` -- sh -c 'rpm -e $(rpm -qa *rpm*)'
        
        buildah commit --storage-driver=vfs --tls-verify=$(params.TLSVERIFY) `cat imgname` '$(params.IMAGE_NAME):$(params.IMAGE_TAG)'
      command:
      - /bin/sh
      - -c
      image: registry.redhat.io/rhel8/buildah@sha256:180c4d9849b6ab0e5465d30d4f3a77765cf0d852ca1cb1efb59d6e8c9f90d467
      name: remove-package-mgr
      resources: {}
      volumeMounts:
      - mountPath: /var/lib/containers
        name: varlibcontainers
      - mountPath: /gen-source
        name: gen-source
      workingDir: /gen-source

在这里插入图片描述

验证修复结果

再次运行名为 petlinic-build-dev 的 Pipeline,确认已经修复好,并且 CI/CD Pipeline 可以成功运行完成。
在这里插入图片描述
在这里插入图片描述

演示视频

视频

参考

https://github.com/rcarrata/devsecops-demo
https://github.com/liuxiaoyu-git/DevSecOps-Demos/blob/master/2021Labs/OpenShiftSecurity/documentation/lab4.adoc

dawnsky.liu
关注
  • 0
    点赞
  • 0
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
openshift4-vmware-upi:支持在VMware上自动安装OpenShift 4的Ansible手册和文档
01-31
这是在RHV上自动化OpenShift 4部署的的延续。 目标是自动化辅助节点(用于点火伪像的Web服务器,外部LB和DHCP)的配置,并在VMware上自动部署Red Hat CoreOS(RHCOS)节点。 特定自动化 在IdM中创建所有SRV,A和PTR...
openshift4-rhv-upi:支持使用Baremetal UPI在RHV上自动安装OpenShift 4的Ansible手册和文档
02-02
使用Baremetal UPI在RHV上配置OpenShift 4.4 该存储库包含一组手册,以帮助促进OpenShift 4.4在RHV上的部署。 背景 该存储库中的剧本/脚本应该可以帮助您自动化RHV上的绝大多数OpenShift 4.4 UPI部署。 请务必阅读...
OpenShift Security (4) - 查看集群中镜像的安全漏洞
多恩斯基的博客
12-08 509
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.9 环境中进行验证。 容器的安全漏洞来自镜像,红帽 ACS 产品是根据 http://definitions.stackrox.io/ 对其管理的 OpenShift 或 Kubernetes 集群上的镜像进行安全漏洞扫描。 进入 ACS 的 “Vlunerability Management” 可以从各角度查看镜像中包含的安全漏洞。可以点击进入下图右上方 “TOP RISKIEST IMAGES” 区域的 “VIEW ALL”。
OpenShift 4 - 如何利用“风险镜像+配置漏洞”攻击应用 Secret(视频
多恩斯基的博客
10-07 619
》本文在 OpenShift 4 和 Kubernetes 1.20 环境中进行验证。
OpenShift Security (2) - 安装 Red Hat Advanced Cluster Security(RHACS
多恩斯基的博客
12-07 1193
OpenShift 4.x HOL教程汇总》 本文在 OpenShift4.10环境中进行验证。 文章目录环境要求安装 ACS Operator创建 ACS 环境创建 Central 实例将 OpenShift 集群注册到 RHACS获取 Authentication Token创建 Secured Cluster 实例在 ACS 控制台查看 OpenShift 集群 环境要求 OpenShift 4.7/OpenShift 4.8/OpenShift 4.9 集群 安装 ACS Operator 在
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(视频
多恩斯基的博客
12-16 1208
OpenShift 4.x HOL教程汇总》 说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证 RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。 本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。 在这里插入图片描述 ........................
OpenShift 4 - 在 Jenkins 的 CI/CD 中用 RHACS 对镜像进行安全扫描(视频
多恩斯基的博客
09-06 1203
本文使用在 OpenShift 中使用由 Jenkins、Nexus、Sonarqube、RHACS 组成的 DevSecOps CICD Pipeline 环境对应用镜像进行安全扫描检查。在发现安全违规后,通过升级应用使用 Java 库、基础镜像等手段修复应用镜像,同时对暂时无法修复安全违规项目进行暂缓处理。
OpenShift4-tools:OpenShift 4工具
04-08
OpenShift4-工具 安装工具等。OpenShift 4集群。 目录 集群实用程序 oinst :OpenShift 4.x安装程序包装器,当前适用于AWS,GCE和libvirt。 您可能需要安装kubechart(github.com/sjenning/kubechart/kubechart)...
openshift4-upi-openstack
05-08
OpenStack上的OpenShift 4 UPI Ansible角色,用于将OpenShift 4的用户提供的基础架构安装方法的必要任务自动化到自定义OpenStack 基于原始的变数安装的默认变量位于defaults/main.yml执照BSD
openshift-ansible-kvm:UPI在KVM上安装OpenShift 4的Ansible剧本
05-03
openshift-ansible-kvm 该存储库包含Ansible剧本,用于在KVM上进行OpenShift 4的UPI安装。 它同时支持和部署。 注意:此配置用于一次性测试,不支持生产使用。要求工作站(或称其为基础节点,控制节点...),运行...
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(视频
多恩斯基的博客
07-28 360
RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。 本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............
OpenShift Security (1) - 红帽多集群安全管理 RHACS 的主要功能和技术架构
多恩斯基的博客
12-08 707
Red Hat Advanced Cluster Security for Kubernetes (RHACS) - 红帽高级集群安全是企业级的 Kubernetes 原生容器安全防护解决方案,可帮助用户更安全地构建、部署和运行云原生应用。
OpenShift Security - 用 RHACS 为应用自动生成 NetworkPolicy
多恩斯基的博客
01-05 490
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic
用Trivy扫描容器镜像
多恩斯基的博客
12-20 591
OpenShift 4.x HOL教程汇总》 红帽 RHACS 支持自动对其管理的 OpenShift 或 Kubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。 以下是使用Trivy扫描镜像的过程: $ curl -OL
Kubernetes安全解决方案--StackRox 安装篇
oasisss的博客
05-11 710
【版权声明】 本文首发于Huiling’s blog,欢迎转载,转载须保留作者Huiling的署名和原文链接。如您有合作/授权的需要,请留言:362759348@qq.com author: Huiling 转载请注明原文来源:https://blog.csdn.net/oasisss/article/details/113753481 Linkedin: http://www.linkedin.com/in/huiling-miao-65872387/ Kubernetes安全解决方案–StackRox
OpenShift 4 - 在 DevOps 的构建、存储和运行阶段对容器镜像进行漏洞扫描(视频
多恩斯基的博客
04-03 394
说明:本文已经在 OpenShift 4.12 + RHACS 3.74 + RH Quay 3.8.4 等环境中验证。
OpenShift / RHEL / DevSecOps 汇总目录
热门推荐
多恩斯基的博客
03-23 1万+
文章目录OpenShift Hands-on LabQuarkusGitOpsIstio Service Mesh系列Istio-TutorialService MeshKnatvie系列Knative入门Knative-Tutorial OpenShift Hands-on Lab Hands-on Lab (0) - 教程说明和准备环境 Hands-on Lab (1) - 多种方法部署运行应........................................................
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(视频
多恩斯基的博客
01-23 1013
OpenShift 4.x HOL教程汇总》 本文在 OpenShift 4.8 + RHACS 环境中进行验证。 演示视频 文章目录部署测试应用镜像漏洞分析应用镜像安全加固 部署测试应用 向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。 $ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi
OpenShift 4 - DevSecOps Workshop (3) - 从PipelineResource、Task到一个简单的Pipeline
多恩斯基的博客
08-15 312
OpenShift 4.x HOL教程汇总》 说明:本文已经在OpenShift 4.8环境中验证 文章目录设置环境变量用PipelineResource设置Git资源使用 Maven 镜像探索 Task 和 TaskRun用 Pipeline 穿起 Task、PipelineResource总结 设置环境变量 $ export USER=$(oc whoami) $ export GIT_ROUTE=$(oc get route gitea-server -ojsonpath="{.spec.host}
openshift internal-registry 切换 sc
最新发布
05-25
要在 OpenShift 中切换内部注册表的 StorageClass(SC),可以遵循以下步骤: 1. 查看当前内部注册表的 StorageClass: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 2. 在输出中找到当前使用的 StorageClass 的名称,例如 `default`. 3. 创建一个新的 StorageClass,例如 `new-sc`, 并设置适当的参数(例如 storageClassName、provisioner、parameters 等)。 4. 更新内部注册表的配置以使用新的 StorageClass: ``` oc patch configs.imageregistry.operator.openshift.io/cluster -n openshift-image-registry --type merge --patch '{"spec":{"storage":{"pvc": {"claim": {"storageClassName": "new-sc"}}}}}' ``` 5. 验证配置是否已更新: ``` oc get cm image-registry-config -n openshift-image-registry -ojsonpath='{.data.storage}' ``` 在输出中,应该看到新的 StorageClass 的名称。现在内部注册表将使用新的 StorageClass 来创建持久卷声明(PVC)。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值