kubernetes CIS 安全基准 Kube-bench 安全工具

已于 2024-01-09 15:50:25 修改
阅读量968 收藏 21
点赞数 19
分类专栏: kubernetes 文章标签: kubernetes 安全 容器 云原生 运维
于 2024-01-09 15:49:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.csdn.net/weixin_48297181/article/details/135482438
版权

开头语

写在前面:如有问题,以你为准,

目前24年应届生,各位大佬轻喷,部分资料与图片来自网络

内容较长,页面右上角目录方便跳转

CIS 介绍

问题:下载pdf后,根据里面的基准来检查K8s集群配置,但内容量太大,一般会采用相关工具来完成这项工作。

Kube-bench是容器安全厂商Aquq推出的工具,以CISK8s基准作为基础,来检查K8s是否安全部署。

主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。

可以获得各种操作系统的安全最佳实践基准

Kube-bench

GitHub - aquasecurity/kube-bench: Checks whether Kubernetes is deployed according to security best practices as defined in the CIS Kubernetes Benchmark

[root@master kube-bench]# ls

kube-bench_0.6.12_linux_amd64.tar.gz

[root@master kube-bench]# tar -xvf kube-bench_0.6.12_linux_amd64.tar.gz

cfg/ack-1.0/config.yaml

cfg/ack-1.0/controlplane.yaml

cfg/ack-1.0/etcd.yaml

...

[root@master kube-bench]# ls

cfg  kube-bench  kube-bench_0.6.12_linux_amd64.tar.gz

[root@master kube-bench]# cd cfg/

[root@master cfg]# ls

ack-1.0  cis-1.20  cis-1.24  cis-1.6      config.yaml  eks-1.1.0                 gke-1.0    rh-0.7

aks-1.0  cis-1.23  cis-1.5   cis-1.6-k3s  eks-1.0.1    eks-stig-kubernetes-v1r6  gke-1.2.0  rh-1.0

另创目录

mkdir /etc/kube-bench

mv cfg  kube-bench  /etc/kube-bench/

[root@master kube-bench]# cd /etc/kube-bench/

[root@master kube-bench]# cp kube-bench /bin

命令介绍

https://github.com/aquasecurity/kube-bench/blob/main/docs/platforms.md

[root@master cfg]# kube-bench help

This tool runs the CIS Kubernetes Benchmark (https://www.cisecurity.org/benchmark/kubernetes/)



Usage:

  kube-bench [flags]

  kube-bench [command]



Available Commands:

  completion  Generate the autocompletion script for the specified shell

  help        Help about any command

  run         Run tests

  version     Shows the version of kube-bench.



Flags:

      --alsologtostderr                  log to standard error as well as files

...

kube-bench run 常用参数:

-s,--targets 指定要基础测试的目标,这个目标需要匹配cfg/<version>中的

文件名称,已有目标:master,controlplane,node,etcd,policies

--version: 指定k8s版本,如果未指定会自动检测

--benchmark:手动指定CIS基准版本,不能与--version一起使用

检查源代码

type 可以手动设置来让其跳过某一项检测

手动跳过某项检测

--profiling 最新版本被弃用了

重新执行检测

汇总信息输出

运行原理

通过 cfg 文件下的 cis-1.24 目录中的yaml 进行检测(简单的配置比对)

cis-1.24是根据cis安全基准来的

修复

检测 master
[root@master cfg]# ls

ack-1.0  cis-1.20  cis-1.24  cis-1.6      config.yaml  eks-1.1.0                 gke-1.0    rh-0.7

aks-1.0  cis-1.23  cis-1.5   cis-1.6-k3s  eks-1.0.1    eks-stig-kubernetes-v1r6  gke-1.2.0  rh-1.0

[root@master cis-1.24]# ls

config.yaml  controlplane.yaml  etcd.yaml  master.yaml  node.yaml  policies.yaml

这些就是cis的手册安全配置,通过这些配置进行检测集群

[root@master cfg]# kube-bench run --targets=master

[INFO] 1 Control Plane Security Configuration



[INFO] 1.1 Control Plane Node Configuration Files

[PASS] 1.1.1 Ensure that the API server pod specification file permissions are set to 644 or more restrictive (Automated)

[PASS] 1.1.2 Ensure that the API server pod specification file ownership is set to root:root (Automated)

[PASS] 1.1.3 Ensure that the controller manager pod specification file permissions are set to 600 or more restrictive (Automated)

[PASS] 1.1.4 Ensure that the controller manager pod specification file ownership is set to root:root (Automated)

[PASS] 1.1.5 Ensure that the scheduler pod specification file permissions are set to 600 or more restrictive (Automated)

[PASS] 1.1.6 Ensure that the scheduler pod specification file ownership is set to root:root (Automated)

[PASS] 1.1.7 Ensure that the etcd pod specification file permissions are set to 600 or more restrictive (Automated)

[PASS] 1.1.8 Ensure that the etcd pod specification file ownership is set to root:root (Automated)

[WARN] 1.1.9 Ensure that the Container Network Interface file permissions are set to 600 or more restrictive (Manual)

[WARN] 1.1.10 Ensure that the Container Network Interface file ownership is set to root:root (Manual)

[PASS] 1.1.11 Ensure that the etcd data directory permissions are set to 700 or more restrictive (Automated)

[FAIL] 1.1.12 Ensure that the etcd data directory ownership is set to etcd:etcd (Automated)

[PASS] 1.1.13 Ensure that the admin.conf file permissions are set to 600 or more restrictive (Automated)

....

== Remediations master ==

.....



== Summary master ==

40 checks PASS

9 checks FAIL

12 checks WARN

0 checks INFO



== Summary total ==

40 checks PASS

9 checks FAIL

12 checks WARN

0 checks INFO

[PASS]: 测试通过

[FAIL]: 测试未通过,重点关注,在测试结果会给出修复建议

[WARN]: 警告,可做了解

[INFO]: 信息
决安全问题

将没有通过筛选出来

[FAIL] 1.1.12 Ensure that the etcd data directory ownership is set to etcd:etcd (Automated)

[FAIL] 1.2.5 Ensure that the --kubelet-certificate-authority argument is set as appropriate (Automated)

[FAIL] 1.2.17 Ensure that the --profiling argument is set to false (Automated)

[FAIL] 1.2.18 Ensure that the --audit-log-path argument is set (Automated)

[FAIL] 1.2.19 Ensure that the --audit-log-maxage argument is set to 30 or as appropriate (Automated)

[FAIL] 1.2.20 Ensure that the --audit-log-maxbackup argument is set to 10 or as appropriate (Automated)

[FAIL] 1.2.21 Ensure that the --audit-log-maxsize argument is set to 100 or as appropriate (Automated)

== Remediations master == # 下面就会有解决方法

1.1.12 On the etcd server node, get the etcd data directory, passed as an argument --data-dir,

from the command 'ps -ef | grep etcd'.

Run the below command (based on the etcd data directory found above).

For example, chown etcd:etcd /var/lib/etcd

[root@master cis-1.24]# ps -ef | grep etcd | grep data-dir

root        3466    3420  1 Feb23 ?        08:48:04 etcd --advertise-client-urls=https://192.168.100.53:2379 --cert-file=/etc/kubernetes/pki/etcd/server.crt --client-cert-auth=true --data-dir=/var/lib/etcd

[root@master cis-1.24]# ll /var/lib/etcd

total 0

drwx------. 4 root root 29 Feb  2 07:11 member

# 注意etcd现在是pod部署,所有这个项安全不需要改

[FAIL] 1.2.17 Ensure that the --profiling argument is set to false (Automated)

1.2.17 Edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml

on the control plane node and set the below parameter.

--profiling=false

# 配置文件进行备份

[root@master manifests]# cp kube-apiserver.yaml kube-apiserver.yaml.bak

# 进行修改添加字段

[root@master manifests]# vim kube-apiserver.yaml

spec:

  containers:

  - command:

    - --tls-cert-file=/etc/kubernetes/pki/apiserver.crt

    - --tls-private-key-file=/etc/kubernetes/pki/apiserver.key

    - --enable-aggregator-routing=true

    - --profiling=false #在最下添加这个字段

[root@master manifests]# systemctl restart kubelet

[root@master manifests]# kubectl get node

NAME     STATUS   ROLES           AGE   VERSION

master   Ready    control-plane   42d   v1.26.1

node1    Ready    <none>          42d   v1.26.1

node2    Ready    <none>          42d   v1.26.1

# 再使用 kube-bench 进行检测,注意需要第一次可能还不通过,多执行几次

[root@master cfg]# kube-bench run --targets=master

[PASS] 1.2.17 Ensure that the admission control plugin NodeRestriction is set (Automated)

# 如果没成功是因为 bak文件在这个目录下,不知道为什么kuberneter会识别bak结尾的文件

# 创建一个backup目录,然后将备份的yaml移动进去,就解决了

# 原因:是不是全文件名匹配(强匹配),可能是kube-apiserver*这种,所以会导致在后面加.bak依旧被识别
检测 node

需要将kube-bench也在node上使用,并将命令改为(node上执行)

./kube-bench run --targets node --benchmark cis-1.24

sxpnp
关注
  • 19
    点赞
  • 21
    收藏
    觉得还不错? 一键收藏
  • 0
    评论
专栏目录
Go-kube-bench用于检查Kubernetes是否安全部署的Go应用
08-13
Go-kube-bench 是一个基于Go语言编写的工具,专为评估和确保Kubernetes集群的安全性而设计。这个应用遵循了CIS (Center for Internet Security) Kubernetes 1.6 Benchmark v1.0.0的标准,该标准提供了一套最佳实践,...
kube-bench:根据CIS Kubernetes基准测试中定义的安全最佳实践检查是否已部署Kubernetes
02-04
kube-bench是一个Go应用程序,它通过运行记录的检查来检查Kubernetes是否已安全部署。 测试是使用YAML文件配置的,因此随着测试规范的发展,该工具易于更新。请注意kube-bench尽可能紧密地实现。 如果kube-bench未...
Kube-Bench测试总结
qq_42944740的博客
03-23 1006
Kubernetes 协调一个高可用计算机集群,每个计算机作为独立单元互相连接工作。Kubernetes 中的抽象允许将容器化的应用部署到集群,而无需将它们绑定到某个特定的独立计算机。为了使用这种新的部署模型,应用需要以将应用与单个主机分离的方式打包:它们需要被容器化。与过去的那种应用直接以包的方式深度与主机集成的部署模型相比,容器化应用更灵活、更可用。Kubernetes 以更高效的方式跨集群自动分发和调度应用容器Kubernetes 是一个开源平台,并且可应用于生产环境。
kube-bench-CIS基准的自动化扫描工具学习
博然的宝藏库
11-14 604
2.kube-benchCIS基准的自动化扫描工具,需要配套使用。1.默认配置文件目录: /etc/kube-bench/cfg。3.根据配置文件的扫描项目会对应CIS基准文档中进行显示。1.下面为k8s的api-server的配置参数解释。1.扫描结果汇总会在最后进行汇报。执行Master节点扫描。3.环境基准配置文件目录。
2024年最新k8s-CKS真题-CIS基准测试与安全扫描_cis基准检测(1),2024年最新手撕面试官
最新发布
2401_84558914的博客
05-08 569
注意:尽可能使用 Webhook 身份验证/授权。
k8s安全03--云安全工具 kube-bench & OPA
脚步不能达到的地方,眼光可以达到;眼光不能达到的地方,精神可以飞到
11-08 817
k8s安全03--云安全工具 kube-bench & OPA1 介绍2 安全工具2.1 kube-bench2.2 OPA Gatekeeper3 注意事项4 说明 1 介绍 本文基于 k8s安全02–云安全工具安全运行时 继续介绍几个 常用的安全工具,包括 kube-bench 和 OPA(Open Policy Agent)。 2 安全工具 2.1 kube-bench kube-bench 努力像 Center for Internet Security, Inc. (CIS®), CIS
CIS安全基准介绍与K8s安全基准工具
热门推荐
m0_57911290的博客
12-22 1万+
互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供 免费的安全防御解决方案。官网:https://www.cisecurity.org/Kubernetes CIS基准:https://www.cisecurity.org/benchmark/kubernetes使用指南,里面提供了如linux等安全加固方案。
5 个供开发人员使用的 Kubernetes 安全工具
DevOps持续集成的博客
06-01 260
Kubernetes 安全基于云原生安全 4C(云、集群、容器、代码)。底层物理基础设施是云中 Kubernetes 安全的基础。因此,当有人在数据中心部署或构建集群时,他们必须遵守所有 Kubernetes 安全最佳实践。这里的“集群”是一个可以转换的组件,例如属于集群一部分的 API 和其他应用程序。当然,这意味着必须根据良好的安全实践来建立这些服务。容器应该使用最佳...
kube-thanos:用于部署Thanos的Kubernetes特定配置
02-03
标签 "kubernetes prometheus thanos kube-prometheus Kubernetes" 暗示了这个项目可能与 kube-prometheus 有关。kube-prometheus 是一个 Kubernetes 上的 Prometheus 监控堆栈,它提供了预配置的 Grafana、...
Kubernetes部署kube-state-metrics
02-23
Kubernetes是目前最流行的容器编排系统,而kube-state-metrics是Kubernetes生态系统中的一个关键组件,它负责收集集群状态的度量数据。本篇文章将深入探讨如何在Kubernetes上部署kube-state-metrics以及这个组件的...
microk8s-kube-bench:使用kube-bench分析的MicroK8
02-21
CIS的MicroK8s和Kubernetes安全基准目标和可交付成果 MicroK8使用kube-bench分析了CIS基准。 该存储库实现了100%自动化的工作流程(通过 + ),可在Ubuntu(作为Github CI / CD工作者运行)上安装Microk8s。 然后...
kube-bench 工具说明
多头注意力探索Now
09-11 292
安全检测工具
kube-bench初体验
小雨的博客
01-11 693
k8s 加固 ,audit工具
CKS之k8s安全基准工具kube-bench(1),2024年最新网络安全岗面试必问
2401_84164469的博客
04-09 1137
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
Kubernetes实战(十三)-使用kube-bench检测Kubernetes集群安全
sre救赎之路
12-12 1355
CIS()是一家致力于网络安全的非营利组织。它提供一系列针对各种操作系统和应用程序的基线安全标准,这些标准被广泛认可,是防止网络攻击的有效手段。CIS基准是由美国计算机互联网安全中心(Center for Internet Security,简称CIS)制定的一系列全球公认的最佳实践标准,用于保护系统和数据免受威胁。这些基准包括了各种技术平台和系统的配置指南,例如操作系统、网络设备、移动设备、服务器应用等。CIS基准提供了详细的步骤来保护特定系统,每个步骤都有清晰的说明和建议。
CIS基准测试工具kube-bench使用
识途老码
07-05 862
kube-bench的项目测试配置文件的目录
error execution phase preflight: [preflight] Some fatal errors occurred: [ERROR FileAvailable--etc-kubernetes-manifests-kube-apiserver.yaml]: /etc/kubernetes/manifests/kube-apiserver.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-controller-manager.yaml]: /etc/kubernetes/manifests/kube-controller-manager.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-kube-scheduler.yaml]: /etc/kubernetes/manifests/kube-scheduler.yaml already exists [ERROR FileAvailable--etc-kubernetes-manifests-etcd.yaml]: /etc/kubernetes/manifests/etcd.yaml already exists
06-01
这个错误是因为您尝试安装Kubernetes的某个组件时,该组件的配置文件已经存在于相应的目录中。这可能是由于之前的安装过程中出现了问题或者手动创建了这些文件导致的。 为了解决这个问题,您可以尝试删除这些文件或备份它们,然后重新运行安装命令。您可以使用以下命令备份这些文件: ``` sudo mv /etc/kubernetes/manifests/kube-apiserver.yaml /etc/kubernetes/manifests/kube-apiserver.yaml.bak sudo mv /etc/kubernetes/manifests/kube-controller-manager.yaml /etc/kubernetes/manifests/kube-controller-manager.yaml.bak sudo mv /etc/kubernetes/manifests/kube-scheduler.yaml /etc/kubernetes/manifests/kube-scheduler.yaml.bak sudo mv /etc/kubernetes/manifests/etcd.yaml /etc/kubernetes/manifests/etcd.yaml.bak ``` 然后再次运行安装命令,应该就可以成功安装了。

“相关推荐”对你有帮助么?

  • 非常没帮助
  • 没帮助
  • 一般
  • 有帮助
  • 非常有帮助
提交
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包
实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值