CKS1.28【1】kube-bench 修复不安全项

已于 2024-02-01 23:33:13 修改
阅读量627 收藏 10
点赞数 8
分类专栏: CKS kubernetes 文章标签: 安全 kubernetes CKS
于 2024-02-01 23:29:55 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_46775222/article/details/135983850
版权

Context

针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。

Task

通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。

修复针对 API 服务器发现的所有以下违规行为:

1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL

1.2.8 Ensure that the --authorization-mode argument includes Node FAIL

1.2.9 Ensure that the --authorization-mode argument includes RBAC FAIL

1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (v1.28 考题中这项没给出,但最好也检查一下)

修复针对 kubelet 发现的所有以下违规行为:

Fix all of the following violations that were found against the kubelet:

4.2.1 Ensure that the anonymous-auth argument is set to false FAIL

4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL

注意:尽可能使用 Webhook 身份验证/授权。

修复针对 etcd 发现的所有以下违规行为:

Fix all of the following violations that were found against etcd:

2.2 Ensure that the --client-cert-auth argument is set to true FAIL

 参考资料:

https://kubernetes.io/zh/docs/reference/config-api/kubelet-config.v1beta1/

答题:

1、切换到 Master 的 root 下

ssh master01
sudo -i

2、修改api-server

#备份配置文件
cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp
vim /etc/kubernetes/manifests/kube-apiserver.yaml
#修改、添加、删除相关内容
#修改 authorization-mode,注意 Node 和 RBAC 之间的符号是英文状态的逗号,而不是点。
 - --authorization-mode=Node,RBAC
#删除 insecure-bind-address。实际考试中,有可能本来就没写这行。
 - --insecure-bind-address=0.0.0.0

3、修改kubelet

cp /var/lib/kubelet/config.yaml /tmp
vim /var/lib/kubelet/config.yaml
#修改
apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous: #修改 anonymous 下的,将 true 改为 false
    enabled: false #将 true 改为 false
  webhook:
    cacheTTL: 0s
    enabled: true #修改为 true。注意,这两个 enabled 千万不要搞混,anonymous 应该为 false,webhook 应该为 true。考试时,可能只有一个是错误的。
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt
authorization: #修改 authorization 下的
  mode: Webhook #改为 Webhook
  webhook:
......

4、修改etcd

cp /etc/kubernetes/manifests/etcd.yaml /tmp
vim /etc/kubernetes/manifests/etcd.yaml
修改
 - --client-cert-auth=true #修改为 true
#编辑完后重新加载配置文件,并重启 kubelet
systemctl daemon-reload
systemctl restart kubelet

修改完成后,等待 5 分钟,再检查一下所有 pod,确保模拟环境里的所有 pod 都正常。

kubectl get pod -A

`Liar`
关注
  • 8
    点赞
  • 10
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
KubernetesK8s、CKS 认证实战班(安全专家)2022版
05-25
分享视频教程——KubernetesK8s、CKS 认证实战班(安全专家),2022最新录制,提供完整的文档资料,希望对大家考CKS认证有所帮助
CKS1.28【2】Pod 指定 ServiceAccount
在我的博客中,你将看到我对生活的热爱,对知识的渴望,以及对创新的追求。我会分享我在各个领域的思考和发现,我的目标是创造一个充满活力、启迪心灵的交流平台,让每一个访问者都能从中获得新的观点和启示。
02-04 365
1. 在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此 ServiceAccount 不自动挂载 API 凭据。清单文件 /cks/sa/pod1.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。3. 最后,清理 namespace qa 中任何未使用的 ServiceAccount。2、创建 Pod 使用该 ServiceAccount。3、删除没有使用的 ServiceAccount。
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
10-19
kubernetes/CKS认证试验手册-LFS260-labs_V2021-08-10.pdf
CKS - Practise - Immutable.docx
04-29
CKS - Practise Immutable Resource
CKS教程-KubernetesK8s、CKS 认证实战班(安全专家)
02-15
KubernetesK8s、CKS 认证实战班(安全专家),视频+文档资料
CKS真题分析-2023年度
李凯的博客
10-31 2787
CKS 2023CKS CKS真题解析
CKS32F1xx_DFP.zip
08-18
CKS32F1xx PACK安装包
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
u014481728的博客
10-25 1868
【K8S认证】2023年CKS考题-Kube-Bench基准修复(解析+答案)
K8S CKA 1.28 模拟环境 实验环境(一键导入)
Vic的博客
11-11 7566
K8S考试 CKA CKS CKAD v1.28 模拟环境 题库 考试实验模拟器kubernetes版本为1.28 操作系统版本为Ubuntu 20.04,与官方考试系统一致。在v1.28版本里,有部分题操作内容是变了的,如果按照网上的其他v1.20 1.21 1.22的方法做,会挂掉几道题的,要注意。K8S CKA 1.28 考试环境,按照CKA最新原题搭建的,模拟环境已集成考题,可直接模拟练习,做题实操。 阅读《CKA/CKS/CKAD 考试说明和常见问题(考前必看)》,并预约考试。
CKS】考试之 kube-bench CIS 基准测试
sinat_33076015的博客
09-05 303
kube-bench CIS 基准测试
CKS之k8s安全基准工具:kube-bench
DwanCloud
03-20 1076
CKSkube-bench介绍以及基础使用
十九、K8s集群设置1- kube-bench
tushanpeipei的博客
11-15 1732
kube-bench在K8s中的使用
守护长者安全,平安养老险携手福海街道开展防灾减灾活动
NewsMash的博客
05-15 135
展望未来,平安养老险深圳分公司将持续与更多养老社区携手开展系列活动,合计赠送1000份灭火袋,并推出更多关爱老年人的举措,以实际行动为构建安全、和谐的养老环境贡献力量,为老年人的金色晚年添上温暖色彩,让他们的生活更加安心、舒心。老人们在台下听的投入,并在互动环节踊跃提问。作为平安集团服务养老、保障民生的重要“窗口”,平安养老险始终坚持金融工作的政治性、人民性,以满足人民日益增长的美好生活需要作为高质量发展的出发点和落脚点,公司期待与更多关心老年人福祉的人士携手,共筑“老有所养、老有所依”的中国梦。
网站有存在哪些类型的漏洞,网站漏洞存在哪些危害,该怎么解决网站漏洞问题
dexunyun的博客
05-14 364
通过使用漏洞扫描VSS服务,我们可以及时发现网站存在的漏洞,有效降低网站漏洞的风险,保障网站安全,满足合规要求。文件上传漏洞是由于网站在处理文件上传功能时没有对上传的文件类型、大小等进行严格的验证和过滤,攻击者利用网站中的文件包含函数,将恶意文件或代码包含到网站中,从而实现远程代码执行或文件读取。网站安全是一个持续的过程,需要我们不断关注,通过及时发现存在的漏洞,我们可以针对性的处理,这样可以有效地减少网站安全漏洞的产生和危害,确保网站的安全稳定运行。同时,采用安全的编程语言和框架,减少漏洞的产生。
高效且安全的传输工具:FileLink跨网文件传输
m0_69398711的博客
05-14 466
同时,它还提供了权限控制功能,例如:文件打开次数、访问时间、禁止截屏、禁止复制、禁止打印、显示水印,有效防止了数据泄露和非法访问。然而,FileLink利用先进的网络技术和协议优化,成功打破了这一局限。它提供广泛的集成支持,权限组件、审批组件均开放API,可与企业现有IT系统充分集成,深度支撑与贯通企业跨网业务流程,致力于打造更全面的数据安全平台。综上所述,FileLink跨网文件传输以其出色的跨网络性能、安全性、多功能性、易用性以及集成扩展能力,成为了现代办公和日常生活中不可或缺的文件传输工具。
Web应用防火墙的重要性
最新发布
XRY_XIAO的博客
05-20 401
Web应用防火墙的重要性
富格林:梳理可信经验保障安全
fgl100的博客
05-13 243
通过多渠道的收集和分析找到市场的波动趋势,在根据趋势的变化进行交易。如果投资者对趋势变化没有把握的话,可以多留意正规专业的交易平台讯息,一般情况下都会给大家分享市场最新的走势变化,阅读贵金属知识课堂的文章就能够知道很多基本面消息,也能学到各种技术分析方法。富格林悉知,现货黄金被视作一种稳健的投资工具,因其对抗通货膨胀和政治不确定性的能力而备受青睐。如果处于亏损状态的时候,应该保持冷静,理性分析市场波动情况,如果亏损情况严重,应该及时离场保住自己的最大利益,重新调整心态再进场。
数智赋能内涝治理,四信城市排水防涝解决方案保障城市安全运行
rtu遥测终端机
05-20 313
四信城市排水防涝解决方案,采用先进的洪涝预测模型和智能监测设备,实现对城市内涝的精准预测和实时监控。方案通过智能化感知终端设备提升排水防涝智慧化水平,确保人民生命财产安全。四信的技术和服务已在多个城市内涝监测项目中得到应用,展现了其在城市安全运行保障方面的专业实力。
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
段智华的博客
05-16 29
构建安全的GenAI/LLMs核心技术解密之大模型对抗攻击(五)
{"success":true,"message":null,"code":0,"data":[{"LotNr":"H73228_44","PartName":"TCS3449","SerialNr":"3D09402250","FmtVer":"v1.0.6","c_time":"Fri-Jan-13-08:29:00-2023","ATIME":"9","AGAIN":"11","ATIME_calib":"9","AGAIN_calib":"11","Peak_shift_F1":"0.1","Peak_shift_F2":"-0.7","Peak_shift_FZ":"0.1","Peak_shift_F3":"-0.7","Peak_shift_F4":"-1.3","Peak_shift_FY":"-0.5","Peak_shift_F5":"-2.2","Peak_shift_FXI":"-0.1","Peak_shift_F6":"-1.1","Peak_shift_F7":"-3.1","Peak_shift_Clear":"-0.9","Peak_shift_IR":"0.2","Peak_shift_Flicker":"-0.8","s_cks":"11.0","responsitivity_F1":"0.959","responsitivity_F2":"1.014","responsitivity_FZ":"1.073","responsitivity_F3":"1.0659999999999998","responsitivity_F4":"1.054","responsitivity_FY":"1.0590000000000002","responsitivity_F5":"1.011","responsitivity_FXI":"1.007","responsitivity_F6":"0.993","responsitivity_F7":"1.032","responsitivity_Clear":"1.004","responsitivity_IR":"0.997","responsitivity_Flicker":"1.01","r_cks":"-13.279000000000002","G31":"1.01","G32":"0.999","G33":"1.024","G34":"0.978","G35":"1.025","G36":"0.982","g3_cks":"-6.018","G41":"0.978","G42":"0.98","G43":"0.994","G44":"0.978","G45":"0.981","G46":"0.982","g4_cks":"-5.893","G51":"0.978","G52":"0.989","G53":"0.979","G54":"0.994","G55":"0.992","G56":"0.982","g5_cks":"-5.914","G61":"0.994","G62":"0.994","G63":"0.994","G64":"0.994","G65":"0.997","G66":"0.991","g6_cks":"-5.964","G71":"0.998","G72":"1.004","G73":"1.002","G74":"1.002","G75":"1.003","G76":"1.0","g7_cks":"-6.009","G81":"1.0","G82":"1.0","G83":"1.0","G84":"1.0","G85":"1.0","G86":"1.0","g8_cks":"-6.0","G91":"1.02","G92":"1.023","G93":"1.019","G94":"1.021","G95":"1.024","G96":"1.036","g9_cks":"-6.143","Ga1":"1.0590000000000002","Ga2":"1.065","Ga3":"1.064","Ga4":"1.065","Ga5":"1.0659999999999998","Ga6":"1.105","g10_cks":"-6.424","Gb1":"1.045","Gb2":"1.051","Gb3":"1.033","Gb4":"1.022","Gb5":"1.04","Gb6":"1.0759999999999998","g11_cks":"-6.267","Gc1":"1.102","Gc2":"1.113","Gc3":"1.067","Gc4":"1.046","Gc5":"1.063","Gc6":"1.1740000000000002","g12_cks":"-6.565","Gd1":"1.304","Gd2":"1.283","Gd3":"1.13","Gd4":"1.09","Gd5":"1.112","Gd6":"1.493","g13_cks":"-7.412000000000001"}],"useTime":88,"srvTime":1686040244843}
06-07
这是一个JSON格式的字符串。它包含一个名为"data"的数组,数组中包含一个对象,该对象有许多键和值。如果你想从这个JSON字符串中获取特定的值,可以使用JSON解析器将其转换为一个QJsonObject对象,然后使用QJsonObject的value()函数获取该对象中特定键的值。例如,如果你想获取LotNr的值,可以这样做: ```c++ #include <QJsonDocument> #include <QJsonObject> #include <QJsonArray> QString jsonString = "{\"success\":true,\"message\":null,\"code\":0,\"data\":[{\"LotNr\":\"H73228_44\",\"PartName\":\"TCS3449\",\"SerialNr\":\"3D09402250\",\"FmtVer\":\"v1.0.6\",\"c_time\":\"Fri-Jan-13-08:29:00-2023\",\"ATIME\":\"9\",\"AGAIN\":\"11\",\"ATIME_calib\":\"9\",\"AGAIN_calib\":\"11\",\"Peak_shift_F1\":\"0.1\",\"Peak_shift_F2\":\"-0.7\",\"Peak_shift_FZ\":\"0.1\",\"Peak_shift_F3\":\"-0.7\",\"Peak_shift_F4\":\"-1.3\",\"Peak_shift_FY\":\"-0.5\",\"Peak_shift_F5\":\"-2.2\",\"Peak_shift_FXI\":\"-0.1\",\"Peak_shift_F6\":\"-1.1\",\"Peak_shift_F7\":\"-3.1\",\"Peak_shift_Clear\":\"-0.9\",\"Peak_shift_IR\":\"0.2\",\"Peak_shift_Flicker\":\"-0.8\",\"s_cks\":\"11.0\",\"responsitivity_F1\":\"0.959\",\"responsitivity_F2\":\"1.014\",\"responsitivity_FZ\":\"1.073\",\"responsitivity_F3\":\"1.0659999999999998\",\"responsitivity_F4\":\"1.054\",\"responsitivity_FY\":\"1.0590000000000002\",\"responsitivity_F5\":\"1.011\",\"responsitivity_FXI\":\"1.007\",\"responsitivity_F6\":\"0.993\",\"responsitivity_F7\":\"1.032\",\"responsitivity_Clear\":\"1.004\",\"responsitivity_IR\":\"0.997\",\"responsitivity_Flicker\":\"1.01\",\"r_cks\":\"-13.279000000000002\",\"G31\":\"1.01\",\"G32\":\"0.999\",\"G33\":\"1.024\",\"G34\":\"0.978\",\"G35\":\"1.025\",\"G36\":\"0.982\",\"g3_cks\":\"-6.018\",\"G41\":\"0.978\",\"G42\":\"0.98\",\"G43\":\"0.994\",\"G44\":\"0.978\",\"G45\":\"0.981\",\"G46\":\"0.982\",\"g4_cks\":\"-5.893\",\"G51\":\"0.978\",\"G52\":\"0.989\",\"G53\":\"0.979\",\"G54\":\"0.994\",\"G55\":\"0.992\",\"G56\":\"0.982\",\"g5_cks\":\"-5.914\",\"G61\":\"0.994\",\"G62\":\"0.994\",\"G63\":\"0.994\",\"G64\":\"0.994\",\"G65\":\"0.997\",\"G66\":\"0.991\",\"g6_cks\":\"-5.964\",\"G71\":\"0.998\",\"G72\":\"1.004\",\"G73\":\"1.002\",\"G74\":\"1.002\",\"G75\":\"1.003\",\"G76\":\"1.0\",\"g7_cks\":\"-6.009\",\"G81\":\"1.0\",\"G82\":\"1.0\",\"G83\":\"1.0\",\"G84\":\"1.0\",\"G85\":\"1.0\",\"G86\":\"1.0\",\"g8_cks\":\"-6.0\",\"G91\":\"1.02\",\"G92\":\"1.023\",\"G93\":\"1.019\",\"G94\":\"1.021\",\"G95\":\"1.024\",\"G96\":\"1.036\",\"g9_cks\":\"-6.143\",\"Ga1\":\"1.0590000000000002\",\"Ga2\":\"1.065\",\"Ga3\":\"1.064\",\"Ga4\":\"1.065\",\"Ga5\":\"1.0659999999999998\",\"Ga6\":\"1.105\",\"g10_cks\":\"-6.424\",\"Gb1\":\"1.045\",\"Gb2\":\"1.051\",\"Gb3\":\"1.033\",\"Gb4\":\"1.022\",\"Gb5\":\"1.04\",\"Gb6\":\"1.0759999999999998\",\"g11_cks\":\"-6.267\",\"Gc1\":\"1.102\",\"Gc2\":\"1.113\",\"Gc3\":\"1.067\",\"Gc4\":\"1.046\",\"Gc5\":\"1.063\",\"Gc6\":\"1.1740000000000002\",\"g12_cks\":\"-6.565\",\"Gd1\":\"1.304\",\"Gd2\":\"1.283\",\"Gd3\":\"1.13\",\"Gd4\":\"1.09\",\"Gd5\":\"1.112\",\"Gd6\":\"1.493\",\"g13_cks\":\"-7.412000000000001\"}],\"useTime\":88,\"srvTime\":1686040244843}"; QJsonDocument doc = QJsonDocument::fromJson(jsonString.toUtf8()); QJsonObject obj = doc.object(); QJsonArray dataArray = obj.value("data").toArray(); QJsonObject dataObject = dataArray.at(0).toObject(); QString lotNr = dataObject.value("LotNr").toString(); ``` 现在,变量lotNr包含了LotNr的值"H73228_44"。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值