k8s-CKS真题-CIS基准测试与安全扫描
目录
- 题目
- 环境搭建
- 解题
- 模拟题
- 参考
题目
Context
针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。
Task
通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。
修复针对 api server 发现的所有以下违规行为:
1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL
1.2.8 Ensure that the --authorization-mode argument includes Node FAIL
1.2.9 Ensure that the --authorization-mode argument includes RBAC FAIL
1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (现在没有了,也可以手动检查下)
1.2.19 Ensure that the --insecure-port argument is set to 0 FAIL (现在没有了,也可以手动检查下)
修复针对 kubelet 发现的所有以下违规行为:
Fix all of the following violations that were found against the kubelet:
4.2.1 Ensure that the anonymous-auth argument is set to false FAIL
4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL
注意:尽可能使用 Webhook 身份验证/授权。
修复针对 etcd 发现的所有以下违规行为:
Fix all of the following violations that were found against etcd:
2.2 Ensure that the --client-cert-auth argument is set to true FAIL
- -authorization-mode strings 在安全端口上进行鉴权的插件的顺序列表。 逗号分隔的列表:AlwaysAllow、AlwaysDeny、ABAC、Webhook、RBAC、Node。 默认值:“AlwaysAllow”
- -authorization-mode stringkubelet 服务器的鉴权模式。可选值包括:AlwaysAllow、Webhook。Webhook 模式使用 SubjectAccessReview API 鉴权。 当 --config 参数未被设置时,默认值为 AlwaysAllow,当使用了 --config 时,默认值为 Webhook。
环境搭建
apiserver部分
命令
vim /etc/kubernetes/manifests/kube-apiserver.yaml
截图
命令
vim /var/lib/kubelet/config.yaml
截图
命令
vim /etc/kubernetes/manifests/etcd.yaml
截图
之后按照参考的链接,根据集群所在系统类型安装即可
kube-bench
解题
解题很简单,按照要求改就行。
命令
vim /var/lib/kubelet/config.yaml
anonymous的enabled改为true
authorization改为Webhook
截图
命令
vim /etc/kubernetes/manifests/etcd.yaml
--client-cert-auth改为true
截图
命令
vim /etc/kubernetes/manifests/kube-apiserver.yaml
--authorization-mode改为Node,RBAC
截图
最后,重启一下kubelet
systemctl daemon-reload
systemctl restart kubelet
模拟题
kube-bench run --targets master --check 1.2.20
systemctl daemon-reload
systemctl restart kubelet
参考
k8s-apiserver配置
k8s-kubelet配置
k8s-etcd配置
github-kube-bench
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记
k8s-CKS真题-CIS基准测试与安全扫描相关推荐
- k8s学习-CKS真题-secret创建、使用
目录 题目 环境搭建 解题 任务一 任务二 任务三 模拟题 参考 题目 Task 在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容 将 us ...
- k8s学习-CKS真题-Runtime设置gVisor
目录 题目 环境搭建 解题 参考 题目 该 cluster 使用 containerd 作为 CRI 运行时.containerd 的默认运行时处理程序是 runc. containerd 已准备好支 ...
- python二级考试真题_2020年宁夏二级建造师考试《建筑工程》真题及答案-二级建造师...
2020年二级建造师统考时间为10月31日-11月1日,其中<建筑工程管理与实务>科目考试时间11月1日9:00-12:00.考试结束后,233网校将及时为大家提供试题答案,并有专业老师进 ...
- python二级考试真题_2020年海南二级建造师考试《建筑工程》真题及答案_二级建造师...
2020年二级建造师统考时间为10月31日-11月1日,其中<建筑工程管理与实务>科目考试时间11月1日9:00-12:00.考试结束后,233网校将及时为大家提供试题答案,并有专业老师进 ...
- 华为OD机试(Java)真题目录汇总(20222023)
1.其它语言华为OD机试真题目录 华为OD机试(Python)真题目录汇总 华为OD机试(C++)真题目录汇总 华为OD机试(JavaScript)真题目录汇总 2.Java语言实现华为OD机试目录 ...
- 华为OD机试(Python)真题目录汇总(20222023)
1.其它语言华为OD机试真题目录 华为OD机试(JAVA)真题目录汇总 华为OD机试(C++)真题目录汇总 华为OD机试(JavaScript)真题目录汇总 2.Python语言实现华为OD机试目录 ...
- 2022必撸八股!198道K8s/Docker/DevOps面试真题大汇总
技术的发展和演进是不可逆的. 整个互联网从最开始的单体架构,到垂直架构,到SOA架构,一路演进到现在的以微服务.Service Mesh等云原生技术为代表的架构形态. 像阿里.字节等大厂,基本上都已经 ...
- 【软考系统架构设计师】2009年下系统架构师综合知识历年真题
[软考系统架构设计师]2009年下系统架构师综合知识历年真题 2009年下系统架构师综合知识历年真题 [软考系统架构设计师]2009年下系统架构师综合知识历年真题 [2009下架构真题第01题:绿色] ...
- CIS基准测试工具kube-bench使用
CIS基准测试工具kube-bench使用 CIS安全基准 CIS基准测试工具kube-bench kube-bench基本使用 测试项目配置文件 测试master 测试node 测试ETCD CIS ...
最新文章
- Oracle 10g 中通过DBLink访问MySQL数据库
- Python 基础 函数
- 注意安全!XSS 和 XSRF
- 数据结构--队列Queue--循环顺序队列
- Java Web学习总结(41)——Java EE 8 新功能展望
- 【单目标优化求解】基于matlab遗传算法求解单目标优化问题【含Matlab源码 1320期】
- Android之模拟网络请求返回http 502、400、401、402错误码
- 2022年茶艺师(中级)考试题模拟考试题库及模拟考试
- 692. Top K Frequent Words
- minigui学习笔记五
- Android 4.4 kitkat以上及以下根据uri获取路径的方法
- (转)Unity十大插件
- 死锁 怎么产生的 四个条件符合其一都不会产生死锁
- matlab导数曲线怎样画,matlab三次样条曲线的绘制(spline和csape函数详解)
- 8522A+7段数码管显示实验
- Recent Trends in Deep Learning Based Natural Language Processing(arXiv)笔记
- js案例---支付10s倒计时
- 从源码的角度理解Glide的执行流程
- MySQL集群解决方案(1):MySQL数据库的集群方案
- 新代系统cnc怎样连接电脑_台湾新代数控系统SYNTEC-CNC应用手册V10-3.pdf