安全
文章平均质量分 85
dawnsky.liu
oracle,redhat
展开
-
OpenShift Security (13) - 用 RHACS 为应用自动生成 NetworkPolicy
NP-Guard 是 IBM 发起的一个开源项目,用来自动创建 Kubernetes (K8s) 的 network policy 以提高云原生应用网络安全。在 RHACS 3.73.1 中内置了 NP-Guard 的核心功能,使用 RHACS 的客户端可以对本地目录中的 Service, ConfigMap, Pod, Deployment, ReplicaSet, Job, DaemonSet, 和 StatefulSet 的 manifest 进行自动分析,并生成最小范围的 NetworkPolic原创 2023-01-05 12:30:14 · 512 阅读 · 0 评论 -
OpenShift 4 - 从 FreeIPA/RHIdM 向 RHSSO 同步用户和组
红帽 RHIdM 基于开源项目 FreeIPA,其内部提供 LDAP 功能可用来存储用户信息。本文将在 OpenShift 环境中配置从 FreeIPA/RHIdM 向 RHSSO 同步用户和组的配置数据。原创 2022-12-04 21:26:15 · 622 阅读 · 0 评论 -
OpenShift 4 - 利用 RHSSO 实现应用认证和访问授权(附视频)
本文将部署一个应用,然后用 RHSSO 对应用访问进行身份认证,并对不同的登录用户和应用资源进行访问授权。原创 2022-12-04 20:05:26 · 690 阅读 · 0 评论 -
OpenShift 4 - 用 External Secret 集成 Hashicorp Vault
External Secret 用来集成外部 Secret 管理系统,如 AWS Secrets Manager、HashiCorp Vault、Google Secrets Manager、Azure Key Vault。External Secret 从外部 Secret 管理系统中读取所需的信息,并自动将这些值注入到指定的 Secret 中。原创 2022-10-12 15:06:22 · 781 阅读 · 0 评论 -
OpenShift 4 - 用 Hashicorp Vault 提升 Secret 敏感信息的安全
《OpenShift / RHEL / DevSecOps 汇总目录》文本已在 OpenShift 4.10 环境中进行验证。Vault 功能架构由存储后端、屏障(Barrier)和 API 三部分构成:先执行命令创建一个项目。安装 helm执行以下命令安装 helm 客户端。注意:helm 客户端版本不能低于 3.7.0。安装方法1 - 使用在线 Chat 安装执行命令,以 helm 参数方式安装 Vault。或者执行命令,以 helm 参数文件方式安装 Vault。安装方法2原创 2022-10-10 08:39:15 · 611 阅读 · 0 评论 -
OpenShift 4 - 在 GitOps 中使用 SealedSecret 保护敏感数据
在 Kubernetes 或 OpenShift 环境中通常使用 Secret 类型对象保存用户和密码等敏感信息。虽然 Secret 会使用 Base64 对明文数据进行加密保存,但是这还不够安全。尤其是在基于 GitOps 的自动化部署过程中,保存这些敏感数据的 Secret 就放在可能任何人都可以访问的 Git Repository 中,因此就需要保护在 GitOps 过程中使用的 Secret 敏感数据。原创 2022-10-09 15:09:34 · 472 阅读 · 0 评论 -
OpenShift 4 - 如何利用“风险镜像+配置漏洞”攻击应用 Secret(附视频)
》本文在 OpenShift 4 和 Kubernetes 1.20 环境中进行验证。原创 2022-10-07 14:05:25 · 679 阅读 · 0 评论 -
OpenShift Security (19) - 用红帽官方镜像加固云原生应用安全(视频)
本文在 OpenShift 4.11+ ACS 3.71.0 环境中进行验证。原创 2022-08-31 19:01:19 · 1592 阅读 · 0 评论 -
OpenShift Security (18) - 定制 RHACS 安全策略,阻断生产集群使用高风险 Registry(附视频)
在 RHACS 中自带丰富的安全策略,可以帮助用户实现从镜像到容器、从网络到宿主机操作系统等各方面的安全检查。用户也可以定制个性化的策略来实现特性安全检查需求。本示例将创建一个定制安全策略,该策略只针对 “生产集群” ,它不允许在生产环境中部署来自安全高风险的 docker.io 的容器镜像。............原创 2022-07-28 09:59:16 · 389 阅读 · 0 评论 -
OpenShift Security (17) - 将 OpenShift Compliance Operator 的合规扫描集成到 RHACS
本文介绍如何把 OpenShift Compliance Operator 和 RHACS 进行集成,从而可以在 RHACS 控制台中查看 OpenShift CIS 基线合规扫描结果。原创 2022-07-17 15:34:52 · 613 阅读 · 0 评论 -
OpenShift 4 - 用KubeLinter检查YAML的配置风险
文章目录认识 KubeLinter使用 KubeLinter参考认识 KubeLinterKubeLinter 是一个开源项目,它源自红帽收购的容器安全公司 StackRox。KubeLinter 是一个静态检查工具,可用来检查识别 Kubernetes 对象 YAML 或 Helm Chart 中的错误配置,比如以非root用户身份运行容器、只在 Secret中存储敏感信息。既可以单独使用 KubeLinter 命令检查错误配置,也可以在 CI/CD 中使用 KubeLinter。当 KubeLint原创 2022-05-07 23:16:54 · 597 阅读 · 0 评论 -
OpenShift 4 - 提升客户端访问 API Server 安全
《OpenShift / RHEL / DevSecOps 汇总目录》文章目录kubeconfig 文件的作用kubeconfig 文件构成用户认证 Token了解 OpenShift 认证和 Token 关系更改 Token 有效时间,增强客户端访问安全参考kubeconfig 文件的作用OpenShift 或 Kubernetes 的客户端每次向 OpenShift或 Kubernetes 发出命令,Kubernetes 都需要对其身份进行识别。如果 Kubernetes 识别出客户端没有认证登录原创 2022-04-20 19:59:39 · 963 阅读 · 0 评论 -
OpenShift 4 - DevSecOps (3) - 用 RHACS 精细化管理云原生应用安全(附视频)
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.10 环境中进行验证。在基于 DevSecOps 的应用发布过程中,我们可以使用 RHACS 的策略对镜像进行安全扫描,当发现危险度较高的 CVE 的时候 RHACS 可以阻断 CI/CD 应用发布过程。但是不同的应用镜像依赖的运行环境不同,修复过程也不尽相同。另外有些时候虽然能发现 CVE 漏洞,但是可能还没有官方修复方案。这些时候就需要针对特定应用镜像包含的特定 CVE 进行精细化处理。参照《OpenShift 4原创 2022-04-02 17:33:40 · 3567 阅读 · 0 评论 -
OpenShift 4 - DevSecOps (4) - 实现一个 CICD Pipeline,并用 RHACS 发现安全隐患(附视频)
实现一个 CICD Pipeline,并用 RHACS 发现安全隐患原创 2022-04-01 20:23:52 · 634 阅读 · 0 评论 -
OpenShift 4 - DevSecOps (2) - 修复 RHACS 发现的安全隐患(附视频)
workspacePVC: petclinic-build-workspacemaven-settingsConfig Map: maven-settingsoc apply -f https://raw.githubusercontent.com/liuxiaoyu-git/SecurityDemos/master/2021Labs/OpenShiftSecurity/documentation/labs-artifacts/s2ijava-mgr.yaml -n cicd .原创 2022-04-01 19:55:40 · 485 阅读 · 0 评论 -
OpenShift 4 - DevSecOps (1) - 安装 DevOps 环境
《OpenShift 4.x HOL教程汇总》说明:本文已经在OpenShift 4.10环境中验证本文创建的环境是《OpenShift Security (17) - 在 DevSecOps 过程中,借助 RHACS 发现并修复安全隐患 (视频)》演示文章目录安装 Ansible 及其相关依赖包根据 Ansible Playbook 安装 DevSecOps Workshop 环境参考安装 Ansible 及其相关依赖包执行命令安装 Ansible。$ sudo dnf install a原创 2022-04-01 14:34:45 · 4281 阅读 · 0 评论 -
OpenShift 4 - 个性化 Project 对象,提升 Namespace 使用安全
《OpenShift / RHEL / DevSecOps 汇总目录》说明:本文已经在OpenShift 4.8环境中验证文章目录Kubernetes 的 Namespace 与 OpenShift 的 Project 区别个性化 Project 对象,提升 Namespace 使用安全参考Kubernetes 的 Namespace 与 OpenShift 的 Project 区别在功能上 OpenShift 和 Kubernetes 完全兼容,但在很多地方 OpenShift 都进行了功能增强,原创 2022-03-07 10:35:36 · 766 阅读 · 0 评论 -
OpenShift 4 - 集群节点日志和API审计日志策略
《OpenShift / RHEL / DevSecOps 汇总目录》说明:本文已经在OpenShift 4.8环境中验证文章目录OpenShift API的审计日志审计日志内容审计日志命令和操作OpenShift 集群日志分类查看主机日志查看 OpenShift API 服务日志查看 Kubernetes API 服务日志查看 OAuth API 服务日志审计日志策略使用缺省的审计日志 Profile个性化审计日志参考OpenShift API的审计日志OpenShift 审计日志提供一组安全相关原创 2022-03-06 16:21:59 · 1113 阅读 · 0 评论 -
OpenShift 4 - 利用 File Integrity Operator 实现对集群节点进行入侵检测(附视频)
OpenShift 的 File Integrity Operator 可以在集群节点上持续地运行文件完整性检查。它部署了一个 DaemonSet,在每个节点上初始化并运行有特权的AIDE(Advanced Intrusion Detection Environment - 高级入侵检测环境)容器,提供自 DaemonSet 初始运行以后被修改的文件记录。原创 2022-03-05 23:57:47 · 4784 阅读 · 0 评论 -
OpenShift 4 - 利用 RHCOS 不可变新特性发现并恢复节点配置漂移(附视频)
文章目录Machine Config Operator 和 Machine Config 的作用什么是配置漂移形成漂移处理配置漂移参考Machine Config Operator 和 Machine Config 的作用在 OpenShift 集群中 Machine Config Operator(MCO)负责管理运行在 OpenShift 集群节 RHCOS 点上的 systemd、CRI-O 和 Kubelet、Kernel、Network Manager 和其他系统功能是如何更新的。MCO 通过原创 2022-02-26 21:43:00 · 1595 阅读 · 0 评论 -
RHEL 8 - CIS安全合规基线、SCAP、SSG和合规扫描、漏洞扫描
CIS(互联网安全中心)提供各种网络安全相关服务。它制作了基准以保护系统免受当今不断变化的网络威胁。这些基准以PDF的形式免费提供给CIS成员,这些内容是可读的但不能直接被扫描工具使用。CIS为付费会员提供了一些XCCDF1格式的基准,可以被工具使用。不过这些基准不包含改变服务器状态以达到合规性所需的自动化和补救步骤。为此Red Hat向用户生产“scap-security-guidelines”软件包,它包含了基准扫描合规性、自动化和补救结果所需的内容。openscap-scanner: 扫描工具。原创 2022-02-12 18:53:38 · 4661 阅读 · 0 评论 -
OpenShift Security 16 - 用 RHACS 为加固应用镜像安全提供线索(附视频)
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.8 + RHACS 环境中进行验证。演示视频文章目录部署测试应用镜像漏洞分析应用镜像安全加固部署测试应用向 OpenShift 导入一个老版本的 “httpd” 镜像以作为安全漏洞较多的基础镜像。$ oc import-image httpd:2.4-el7-120 --from=registry.redhat.io/rhscl/httpd-24-rhel7:2.4-120 --confirm -n openshi原创 2022-01-23 21:18:36 · 1049 阅读 · 0 评论 -
OpenShift 4 - 为应用配置访问白名单并预防DDoS(附视频)
《OpenShift 4.x HOL教程汇总》说明:本文已经在OpenShift 4.89环境中验证演示视频OpenShift 内置路由功能以实现 Kubernetes 的 Ingress。针对路由可以设置访问白名单,以拦截来自不明网络的非法请求。在 OpenShift 上根据下图部署 https://github.com/liuxiaoyu-git/php-helloworld 应用。通过部署好的应用 Route 访问,确认应用显示下图。其中下图的 “ 209.132.188.14” 是访原创 2022-01-17 22:56:05 · 688 阅读 · 0 评论 -
OpenShift Security 15 - 用 RHACS 的安全策略管理运行中的容器安全
《OpenShift 4.x HOL教程汇总》本文在 OpenShift4.9 + RAHACS 环境中进行验证。创建 RHACS 的 Policy创建一个 Policy 的 JSON 文件,内容如下。Policy 只针对 OpenShift 的 Production 项目中的资源识别容器是否运行 curl 命令,一旦发现有 curl 命令运行,立即终止 Pod 运行。{ "policies": [ { "id": "e0a224d9-ca08-原创 2022-01-15 20:57:24 · 2871 阅读 · 0 评论 -
OpenShift Security 14 - 使用 RHACS 中的进程基线功能找出在容器中运行的风险操作(附视频)
RHACM 是红帽面向容器云的高级集群管理平台,可以在混合云环境中统一管理多 OpenShift/Kubernetes 容器云的产品。本视频演示使用 RHACM 在 VMware 中使用 IPI方法自动安装一个 OpenShift 集群的过程。原创 2022-01-15 11:53:28 · 2885 阅读 · 0 评论 -
OpenShift 4 - 使用 Trivy Operator 对项目中的镜像进行安全扫描
《OpenShift 4.x HOL教程汇总》说明:本文已经在OpenShift 4.9环境中验证使用默认配置安装 Trivy Operator,然后创建一个 “NamespaceScanner” 实例。apiVersion: trivy-operator.devopstales.io/v1kind: NamespaceScannermetadata: name: trivy-operator-main-config namespace: openshift-operatorsspe原创 2022-01-09 20:00:10 · 3876 阅读 · 0 评论 -
OpenShift 4 - 镜像漏洞扫描软件 Clair
《OpenShift 4.x HOL教程汇总》说明:本文已经在OpenShift 4.9环境中验证文章目录Clair 是什么?在 OpenShift 安装 Clair 环境安装 Clair 客户端使用 Clair 对容器镜像进行扫描参考Clair 是什么?Clair 最早是 CoreOS 公司开发的一个容器镜像漏洞扫描工具,后来 CoreOS 被红帽收购,Clair 成为 Red Hat 主导的容器镜像安全漏洞扫描的开源软件 。作为一款开源软件,Clair 即可单独运行,也可集成到其他软件中运行。原创 2021-12-30 18:15:40 · 1142 阅读 · 0 评论 -
OpenShift 4 - 解决 OpenShift 中 elasticsearch 环境的 Log4j 漏洞
《OpenShift 4.x HOL教程汇总》OpenShift 使用的 elasticsearch 会受到 Log4j 的安全漏洞影响,可以使用以下方法屏蔽安全漏洞。文章目录OpenShift 3OpenShift 4OpenShift 3修改 elasticsearch 使用的 Java参数$ oc project openshift-logging$ oc get dc -l component=esNAME REVISIO原创 2021-12-29 20:42:56 · 1446 阅读 · 0 评论 -
OpenShift 4 - 锁定被保护的 OpenShift 资源,禁止删除和修改操作(附视频)
《OpenShift 4.x HOL教程汇总》说明:本文已经在OpenShift 4.9环境中验证安装 Resource Locker Operator验证执行命令,创建项目$ oc new-project resource-locker-test创建一个 Role(注意:角色可以对 configmaps 类对象进行修改),并绑定到 serviceaccount。$ oc create serviceaccount resource-locker-test-sa -n resour原创 2021-12-26 21:42:01 · 1499 阅读 · 0 评论 -
OpenShift Security - 利用Log4j漏洞攻击容器(附视频)
利用Log4j漏洞攻击容器需要有2个条件,1)Java应用中包含受到漏洞影响的Log4j。2)带有“JNDI 注入”的运行环境。以下在 2 个节点上进行验证:在 172.17.0.30 上执行以下命令,运行带有 “JNDI 注入” 的环境。$ curl -OL https://github.com/giterlizzi/JNDIExploit/releases/download/v1.2/JNDIExploit.zip$ unzip JNDIExploit.zip$ java -jar JND原创 2021-12-24 22:51:55 · 1945 阅读 · 0 评论 -
OpenShift Security (12) - 用 RHACS 管理容器之间的网络访问策略(附视频)
oc new-project project1 oc label namespace project1 name=project1 oc new-project project2 oc label namespace project2 name=project2 oc new-project project3 oc label namespace project3 name=project3 oc new-app -n project1 openshiftroadshow/parksmap.原创 2021-12-22 18:15:24 · 1197 阅读 · 0 评论 -
OpenShift Security (11) - 用RHACS在DevOps的CICD中扫描部署中的安全风险
《OpenShift 4.x HOL教程汇总》本文在 OpenShift4.9 + RHACS 环境中进行验证。说明,运行环境除了要安装RHACS外,还需要安装OpenShift Pipeline Operator。执行命令,下载项目代码$ git clone https://github.com/liuxiaoyu-git/acs-automation.git执行命令,部署Pipeline资源$ oc new-project rox-ctl-pipeline$ cd acs-aut原创 2021-12-21 18:11:00 · 1452 阅读 · 0 评论 -
用Trivy扫描容器镜像
《OpenShift 4.x HOL教程汇总》红帽 RHACS 支持自动对其管理的 OpenShift 或 Kubernetes 上的容器进行漏洞扫描、合规评估。在 RHACS 中使用了开源的 Clair 来扫描镜像,而红帽 Quay 使用的镜像扫描也是 Clair。因为 RHACS 和 Quay 都是企业平台,因此对运行环境的要求较高。而 Trivy 是一个轻量级漏洞扫描工具,支持基于 CVE 对常用的 Linux 、镜像和应用进行安全扫描。以下是使用Trivy扫描镜像的过程:$ curl -OL原创 2021-12-20 13:19:24 · 618 阅读 · 0 评论 -
OpenShift Security (10) - 用红帽高级集安全产品监控容器中运行的安全违规操作(附视频)
《OpenShift 4.x HOL教程汇总》本文已在 OpenShift 4.9 + RHACS 中测试验证。文章目录场景说明查看 Runtime 策略部署测试应用在容器中增加用户,然后查看风险场景说明RHACS 对于容器的安全 policy 可以施加于 Build、Deploy 和 Runtime 三个不同阶段。在《OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署》中使用了作用于 Deploy 阶段的 Policy 来阻止有安全风险原创 2021-12-18 22:27:41 · 1517 阅读 · 0 评论 -
OpenShift Security (9) - 用 RHACS 扫描 Log4j 安全漏洞,屏蔽不安全镜像部署(附视频)
《OpenShift 4.x HOL教程汇总》说明:本文已经在 OpenShift 4.9 + RHACS 环境中验证RHACS 采用的是 “Kubernetes 的 Admission Controller 技术 + 策略库” 的机制对使用的镜像进行安全扫描。本文在 RHACS 中为 “Log4j” 安全漏洞对应的 “CVE-2021-44228” 配置单独的系统策略,并将策略运用在 build 和 deploy 镜像阶段。在这里插入图片描述........................原创 2021-12-16 14:56:29 · 1286 阅读 · 0 评论 -
OpenShift 4 - 安全上下文 SecurityContext
Security Context什么是安全上下文(Security Context)安全上下文(Security Context)定义 Pod 或 Container 的特权与访问控制设置。管理员可以使用Security Context 定义运行的Pod是否有以下权限:Pod 能否运行特权容器。Linux 权能: 为进程赋予 root 用户的部分特权而非全部特权。将主机目录当做卷使用。容器的 SELinux 上下文。基于用户 ID(UID)和组 ID(GID) 来判定对对象(例如文件)的访问原创 2021-12-15 20:52:42 · 1531 阅读 · 0 评论 -
OpenShift Security (7) - 风险合规评估
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。文章目录原创 2021-12-09 23:36:28 · 301 阅读 · 0 评论 -
OpenShift Security (8) - 安装并运行 DevSecOps 应用
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。文章目录安装 DevSecOps Pipeline 演示环境运行 DevSecOps Pipeline安装 DevSecOps Pipeline 演示环境下载 devsecops demo 应用资源$ git clone https://github.com/rcarrata/devsecops-demo.git$ ansible-galaxy collecti原创 2021-12-09 16:10:45 · 1893 阅读 · 0 评论 -
OpenShift Security (6) - 用网络图可视化网络访问策略
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。文章目录网络图跟踪查看网络访问通道网络策略模拟器网络图Kubernetes 使用网络策略定义 pod 群组之间以及与其他网络端点之间是否能够通信。这些网络策略使用YAML定义,因此仅仅通过查看YAML通常很难确定应用的网络策略是否实现了预期的网络拓扑结构。RHACS 的网络图可以以可视化的方式展现这些网络策略。跟踪查看网络访问通道可以点击 PAYMENTS 和 BAC原创 2021-12-09 12:21:13 · 636 阅读 · 0 评论 -
OpenShift Security (5) - 评估部署中的配置风险
《OpenShift 4.x HOL教程汇总》本文在 OpenShift 4.9 和 RHACS 3.67.1 环境中进行验证。文章目录和部署风险相关的指标违反安全政策情况可疑的执行进程镜像漏洞服务配置服务可及性对攻击者有用的组件镜像中的组件数量镜像的新鲜度RBAC配置查看部署详情查看容器内部的执行进程进程的安全基线RHACS 的风险视图列出了来自所有集群的全部 Deployment,并按照基于政策违反、镜像内容、部署配置和其他相关因素的多因素风险指标进行排序,列表顶部的部署有具最高的风险。和部署风原创 2021-12-08 23:01:16 · 1539 阅读 · 0 评论