CKS-系统的强化-减少服务器安全隐患(内核模块)

已于 2022-06-22 10:10:58 修改
阅读量493 收藏
点赞数
文章标签: 服务器 kubernetes 容器
于 2022-06-22 10:10:28 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_45081220/article/details/125403367
版权

在这里插入图片描述

Linux内核会根据需要从磁盘自动加载内核模块,与Kubernetes特别相关的是,即使没有特权的进程也可以通过创建适当类型的套接字来加载某些与网络协议相关的内核模块,这可能使攻击者可以利用管理员认为未使用的内核模块中的安全漏洞。

lsmod 查询系统模块

root@vms82:~/cks# lsmod |wc -l
124       **运行pod机器的内模块数量**

[root@web1 /]# lsmod |wc -l       
124     **容器内模块数量**
**说明---容器里的模块跟系统加载的模块一样 lsmod**
**modprobe  模块名----加载模块**
**modprobe -r   模块名----删除模块**
root@vms82:~# modprobe pcspkr
root@vms82:~# lsmod |wc -l
125

[root@web1 /]# lsmod |wc -l
125

root@vms81:~/cks# cat /proc/sys/vm/swappiness
60

[root@web1 /]# cat /proc/sys/vm/swappiness
60

说明–宿主机修改模块会影响到pod内加载的模块,如果宿主机有模块漏洞,pod也会存在漏洞

防止自动加载模块

vim  /etc/modprobe.d/blacklist-xxxx.conf 
blacklist 模块名         # 设置开机不加载模块

root@vms81:~/cks# ll /etc/modprobe.d/
amd64-microcode-blacklist.conf  blacklist-firewire.conf         intel-microcode-blacklist.conf
blacklist-ath_pci.conf          blacklist-framebuffer.conf      iwlwifi.conf
blacklist.conf                  blacklist-rare-network.conf     mdadm.conf
跳跃音符#3712
关注
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
cks-bookamrks:Kubernetes认证安全专家(CKS)计划的书签
05-09
cks-bookamrks Kubernetes认证安全专家(CKS)计划的书签 CKS_Exam_Allowed_Links.html:这些是CKS认证允许的链接。 我已经根据主题安排了书签。 您可以根据需要导入和重新安排。 CKS_Exam_Related_Topics.html:...
【总结】安全漏洞组件升级修复问题集群
Java高手真经
02-06 1637
最近在搞系统安全漏洞组件修复的工作,项目是用springboot大件的,用到了很多第三方组件包,通过安全扫描软件时,报了很多组件存在安全漏洞。于是很多组件只能硬着头皮升级,升级后,遇到了很多编译启动问题,项目启动不了了。代码编译的情况,可以修改代码,但jar包冲突引发的启动失败,只能一个一个排查。
CKS-系统强化-POLP(apparmor)
weixin_45081220的博客
06-22 812
POLP
CKS-系统强化-SECcomp(sysdig)
weixin_45081220的博客
06-22 395
linux kernel从2.6.23版本开始所支持的一种安全机制 在Linux系统里,大量的系统调用(systemcall)直接暴露给用户态程序。但是,并不是所有的系统调用都被需要,而且不安全的代码滥用系统调用会对系统造成安全威胁。通过seccomp,我们限制程序使用某些系统调用,这样可以减少系统的暴露面,使程序进入一种“安全”的状态。官方说明 https://www.kernel.org/doc/Documentation/prctl/seccomp_filter.txt我们系统有300多个系
k8s学习-CKS真题-Trivy扫描镜像安全漏洞
关注网络安全、云原生安全
04-16 1104
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。你必须切换到 cluster 的 master 节点才能使用 Trivy。一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。读者根据自己的操作系统版本安装即可。第一需要下载库(考试时不需要)
k8s学习-CKS真题-TLS安全配置
关注网络安全、云原生安全
05-17 1243
如果出现:Failed to restart etcd.service: Unit etcd.service not found.,可以查找kube-system下的etcd,例如。
k8s学习-CKS真题-Context安全上下文
关注网络安全、云原生安全
05-08 803
在spec下面添加(考试时可能已有securityContext)修改deployment。
k8s-CKS真题-CIS基准测试与安全扫描
关注网络安全、云原生安全
04-16 970
-authorization-mode stringkubelet 服务器的鉴权模式。当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
CKS-集群的强化-Kubernetes API的访问
weixin_45081220的博客
05-28 1045
集群的强化 通过设置提高集群的安全性 1. 验证方式 2. 授权方式 3. SA的安全设置 登入k8s的验证方式 1. token方式 2. kubeconfig方式 3. oauth2方式 4. 其他第三方登录 https://www.tremolosecurity.com/products/orchestra-for-kubernetes token方式 1.在master上开启 token 认证并关联用户 root@vms81:~/cks/day2# openssl rand -he
cks--安全框架概述
一颗红小豆
08-27 135
k8s安全框架概述
CKS - Practise - ImageWebHook.docx
04-29
总之,CKS考试中的ImagePolicyWebhook实践涵盖了Kubernetes集群安全的关键部分,它帮助你在部署过程中强化了镜像安全,提供了对恶意或不安全镜像的防御机制。正确配置和使用ImagePolicyWebhook对于维护Kubernetes...
CKS - Practise - PSP and Audit.docx
04-29
Kubernetes 集群中实现审计功能对于确保系统的安全性和合规性至关重要。本实践指南将详细介绍如何在 Kubernetes 集群中配置审计日志,并创建一个只记录特定事件的日志策略。 **目标:** 在 Kubernetes 集群中启用...
七、Linux 之用户管理
八戒媳妇
10-12 361
Linux 系统是一个多用户多任务的操作系统,任何一个要使用系统资源的用户,都必须首先向系统管理员申请一个账号,然后以这个账号的身份进入系统
配置WSGI 服务器(Gunicorn)和Nginx 反向代理服务器部署Flask项目
最新发布
2301_80892630的博客
10-12 495
部署 Flask 项目涉及到多个步骤,包括环境设置、依赖管理、配置、Web 服务器配置、数据库管理等。下面是一个详细的部署指南,假设你使用的是 Linux 系统(如 Ubuntu)。前三个步骤教你如何在python虚拟环境下搭建项目并给出项目结构示例,如果已有项目或项目已完成,可以直接跳过。
恒创科技:香港服务器无法建立 SSL 连接如何解决?
SonderCloud_的博客
10-12 322
在当今的数字时代,安全通信对于在线业务、网站和应用程序至关重要。建立安全通信的方法之一是通过 SSL(安全套接字层)协议。但当无法在用户的设备和托管您网站的香港服务器之间建立安全连接时,就会发生 SSL 连接错误。这通常是由于SSL 证书无效或您的设备或浏览器缺少安全更新。在这篇文章中,我们将讨论此错误的原因,并为您提供有效的解决方案来排除故障并修复问题。
linux中的火墙优化策略
weixin_71016778的博客
10-08 742
1.火墙介绍1.火墙介绍1.netfilter2.iptables3.iptablesfirewalld。
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值