国产无码综合区,色欲AV无码国产永久播放,无码天堂亚洲国产AV,国产日韩欧美女同一区二区

<mark id="cfunq"><pre id="cfunq"></pre></mark>

【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用

2年前作者：rundreamsFly分類：Toy博客閱讀(51)違法舉報(bào)

這篇具有很好參考價(jià)值的文章主要介紹了【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用。希望對(duì)大家有所幫助。如果存在錯(cuò)誤或未考慮完全的地方，請(qǐng)大家不吝賜教，您也可以點(diǎn)擊"舉報(bào)違法"按鈕提交疑問。

基礎(chǔ)介紹

為了保證集群以及容器應(yīng)用的安全，Kubernetes 提供了多種安全機(jī)制，限制容器的行為，減少容器和集群的攻擊面，保證整個(gè)系統(tǒng)的安全性。
互聯(lián)網(wǎng)安全中心（CIS，Center for Internet Security），是一個(gè)非盈利組織，致力為互聯(lián)網(wǎng)提供免費(fèi)的安全防御解決方案
官網(wǎng)：https://www.cisecurity.org/
k8s安全基準(zhǔn)：https://www.cisecurity.org/benchmark/kubernetes

kube-beach介紹

Kube-bench是容器安全廠商Aquq推出的工具，以CIS K8s基準(zhǔn)作為基礎(chǔ)，來檢查K8s是否安全部署。
主要查找不安全的配置參數(shù)、敏感的文件權(quán)限、不安全的帳戶或公開端口等等。
開源地址：https://github.com/aquasecurity/kube-bench
二進(jìn)制包下載地址：https://github.com/aquasecurity/kube-bench/releases
大家根據(jù)需求下載相應(yīng)版本

kube-beach 下載

百度網(wǎng)盤下載

鏈接：https://pan.baidu.com/s/17AGxkwTDUkiDYSSZpPu45A?pwd=vqew
提取碼：vqew
–來自百度網(wǎng)盤超級(jí)會(huì)員V7的分享

wget下載

wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.19/kube-bench_0.6.19_linux_amd64.tar.gz

kube-beach安裝

解壓

tar -zxf kube-bench_0.6.19_linux_amd64.tar.gz

創(chuàng)建默認(rèn)配置路徑

mkdir -p /etc/kube-bench

復(fù)制配置文件至默認(rèn)目錄

mv cfg /etc/kube-bench/cfg

設(shè)置為系統(tǒng)命令

mv kube-bench /usr/bin/

kube-beach使用

基礎(chǔ)參數(shù)

使用kube-bench run進(jìn)行測(cè)試，該指令有以下常用參數(shù)
–targets 指定要基礎(chǔ)測(cè)試的目標(biāo)，默認(rèn)配置目標(biāo)包括：master, controlplane, node, etcd, policies
–version：指定k8s版本，如果未指定會(huì)自動(dòng)檢測(cè)
–benchmark：手動(dòng)指定CIS基準(zhǔn)版本，不能與–version一起使用
查看幫助信息

kube-bench --help

【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用,CNCF,# Kubernetes,云原生,kubernetes,安全,kube-beach

配置信息解讀

在該目錄下 /etc/kube-bench/cfg
該版本默認(rèn)使用 cis-1.7
也支持其他云廠商的驗(yàn)證基準(zhǔn) 【ack-1.0 容器服務(wù) Kubernetes 版 ACK】

示例

檢查master組件安全配置

kube-bench run --targets=master

【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用,CNCF,# Kubernetes,云原生,kubernetes,安全,kube-beach

修復(fù)建議

【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用,CNCF,# Kubernetes,云原生,kubernetes,安全,kube-beach

修復(fù)一個(gè)安全漏洞【1.2.18】

安全漏洞

[FAIL] 1.2.18 Ensure that the --profiling argument is set to false (Automated)

修復(fù)建議

1.2.18 Edit the API server pod specification file /etc/kubernetes/manifests/kube-apiserver.yaml
on the control plane node and set the below parameter.
--profiling=false

編輯 kube-apiserver.yaml ,增加 --profiling=false
修改完后 kube-apiserver 靜態(tài)pod進(jìn)行重啟
已通過安全掃描

結(jié)果說明

[PASS]：測(cè)試通過
[FAIL]：測(cè)試未通過，重點(diǎn)關(guān)注，在測(cè)試結(jié)果會(huì)給出修復(fù)建議
[WARN]：警告，可做了解
[INFO]：信息
大家可以根據(jù)實(shí)際情況，推薦的修復(fù)方案進(jìn)行實(shí)際的修復(fù)措施。

kube-beach跳過漏洞

kube-beach 所有掃描出來的漏洞不一定需要全部修復(fù)，如果需要跳過我們需要修改kube-beach的漏洞定義配置文件

漏洞定義

[FAIL] 1.4.1 Ensure that the --profiling argument is set to false (Automated)

在 /etc/kube-bench/cfg/cis-1.23【具體k8s版本】目錄編輯 master.yaml
找到 1.4.1 配置信息

- id: 1.4.1
        text: "Ensure that the --profiling argument is set to false (Automated)"
        audit: "/bin/ps -ef | grep $schedulerbin | grep -v grep"
        tests:
          test_items:
            - flag: "--profiling"
              compare:
                op: eq
                value: false
        remediation: |
          Edit the Scheduler pod specification file $schedulerconf file
          on the control plane node and set the below parameter.
          --profiling=false
        scored: true

漏洞定義yaml說明

id：編號(hào)
text：提示的文本
tests：測(cè)試項(xiàng)目
remediation：修復(fù)方案
scored：如果為true，kube-bench無法正常測(cè)試，則會(huì)生成FAIL，如果為false，無法正常測(cè)試，則會(huì)生成WARN。
type：如果為manual則會(huì)生成WARN，如果為skip，則會(huì)生成INFO

漏洞生成為INFO

【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用,CNCF,# Kubernetes,云原生,kubernetes,安全,kube-beach
文章來源地址http://www.zghlxwxcb.cn/news/detail-737870.html

修改后的yaml

- id: 1.4.1
        text: "Ensure zhangzihao that the --profiling argument is set to false (Automated)"
        audit: "/bin/ps -ef | grep $schedulerbin | grep -v grep"
        tests:
          test_items:
            - flag: "--profiling"
              compare:
                op: eq
                value: false
        remediation: |
          Edit the Scheduler pod specification file $schedulerconf file
          on the control plane node and set the below parameter.
          --profiling=false
        scored: true
        type: "skip"

到了這里，關(guān)于【云原生-K8s】Kubernetes安全組件CIS基準(zhǔn)kube-beach安裝及使用的文章就介紹完了。如果您還想了解更多內(nèi)容，請(qǐng)?jiān)谟疑辖撬阉鱐OY模板網(wǎng)以前的文章或繼續(xù)瀏覽下面的相關(guān)文章，希望大家以后多多支持TOY模板網(wǎng)！

本文來自互聯(lián)網(wǎng)用戶投稿，該文觀點(diǎn)僅代表作者本人，不代表本站立場(chǎng)。本站僅提供信息存儲(chǔ)空間服務(wù)，不擁有所有權(quán)，不承擔(dān)相關(guān)法律責(zé)任。如若轉(zhuǎn)載，請(qǐng)注明出處：如若內(nèi)容造成侵權(quán)/違法違規(guī)/事實(shí)不符，請(qǐng)點(diǎn)擊違法舉報(bào)進(jìn)行投訴反饋，一經(jīng)查實(shí)，立即刪除！

分享到：

領(lǐng)支付寶紅包贊助服務(wù)器費(fèi)用

2023年基準(zhǔn)Kubernetes報(bào)告：6個(gè)K8s可靠性失誤
云計(jì)算日益成為組織構(gòu)建應(yīng)用程序和服務(wù)的首選目的地。盡管一年來經(jīng)濟(jì)不確定性的頭條新聞主要集中在通貨膨脹增長和銀行動(dòng)蕩方面，但大多數(shù)組織預(yù)計(jì)今年的云使用和支出將與計(jì)劃的相同（45%），或高于計(jì)劃的（45%）。Flexera公司2023年云現(xiàn)狀報(bào)告中的新數(shù)據(jù)顯示，僅有
2024年02月15日
瀏覽(17)
kubernetes CIS 安全基準(zhǔn) Kube-bench 安全工具
開頭語寫在前面：如有問題，以你為準(zhǔn)，目前24年應(yīng)屆生，各位大佬輕噴，部分資料與圖片來自網(wǎng)絡(luò) 內(nèi)容較長，頁面右上角目錄方便跳轉(zhuǎn) 問題：下載pdf后，根據(jù)里面的基準(zhǔn)來檢查K8s集群配置，但內(nèi)容量太大，一般會(huì)采用相關(guān)工具來完成這項(xiàng)工作。 Kube-bench 是容器安全廠商
2024年02月02日
瀏覽(10)
云上攻防-云原生篇&Kubernetes&K8s安全&API&Kubelet未授權(quán)訪問&容器執(zhí)行
Kubernetes是一個(gè)開源的，用于編排云平臺(tái)中多個(gè)主機(jī)上的容器化的應(yīng)用，目標(biāo)是讓部署容器化的應(yīng)用能簡單并且高效的使用, 提供了應(yīng)用部署，規(guī)劃，更新，維護(hù)的一種機(jī)制。其核心的特點(diǎn)就是能夠自主的管理容器來保證云平臺(tái)中的容器按照用戶的期望狀態(tài)運(yùn)行著，管理員可
2024年02月08日
瀏覽(31)
云原生Kubernetes:K8S概述
目錄一、理論 1.云原生 2.K8S 3.k8s集群架構(gòu)與組件 4.K8S網(wǎng)絡(luò) 二、總結(jié) （1）概念云原生是一種基于容器、微服務(wù)和自動(dòng)化運(yùn)維的軟件開發(fā)和部署方法。它可以使應(yīng)用程序更加高效、可靠和可擴(kuò)展，適用于各種不同的云平臺(tái)。如果要更直接通俗的來解釋下上面的概念，云原生更
2024年02月10日
瀏覽(30)
CKS之k8s安全基準(zhǔn)工具：kube-bench
????????CIS Kubernetes Benchmark 由互聯(lián)網(wǎng)安全中心（CIS）社區(qū)維護(hù),旨在提供 Kubernetes 的安全配置基線，旨在為互聯(lián)網(wǎng)環(huán)境提供免費(fèi)的安全防御方案。CIS是一個(gè)非營利性組織，其制定的安全基準(zhǔn)覆蓋了多個(gè)領(lǐng)域，包括操作系統(tǒng)、中間件、應(yīng)用程序等多個(gè)層面。 ? ? ? ? CIS官網(wǎng)：
2024年04月10日
瀏覽(33)
【云原生 ? Kubernetes】認(rèn)識(shí) k8s、k8s 架構(gòu)、核心概念點(diǎn)介紹
目錄一、Kubernetes 簡介二、Kubernetes 架構(gòu) 三、Kunbernetes 有哪些核心概念？ 1. 集群 Cluster 2. 容器 Container 3. POD 4. 副本集 ReplicaSet 5. 服務(wù) service 6. 發(fā)布 Deployment 7. ConfigMap/Secret 8. DaemonSet 9. 核心概念總結(jié) Kubernetes 簡稱 k8s，是支持云原生部署的一個(gè)平臺(tái)，起源于谷歌。谷歌早在十幾
2024年02月03日
瀏覽(834)
云上攻防-云原生篇&；Kubernetes&；K8s安全&；API&；Kubelet未授權(quán)訪問&；容器執(zhí)行
curl -XPOST -k “https://192.168.139.132:10250/run///” -d “cmd=id” 執(zhí)行的命令是test03容器里的命令，需要進(jìn)行容器逃逸。 1、攻擊8080端口：API Server(Master)未授權(quán)訪問舊版本的k8s的API Server默認(rèn)會(huì)開啟兩個(gè)端口：8080和6443。 6443是安全端口，安全端口使用TLS加密；但是8080端口無需認(rèn)證，
2024年04月22日
瀏覽(70)
【云原生 ? Kubernetes】認(rèn)識(shí) k8s 網(wǎng)絡(luò)、外部網(wǎng)絡(luò)訪問 k8s 內(nèi)部服務(wù)
目錄一、認(rèn)識(shí) Kubernetes 網(wǎng)絡(luò) 二、外部網(wǎng)絡(luò)如何訪問 k8s 內(nèi)部服務(wù) 1. NodePort 2. Load Balancer 3. Ingress Kubernetes 最底層的網(wǎng)絡(luò)為節(jié)點(diǎn)網(wǎng)絡(luò)，用來保證 k8s 集群的節(jié)點(diǎn)（master 和 worker、worker 節(jié)點(diǎn)之間）能夠做正常的 IP 尋址和通訊。 Kubernetes 第二層網(wǎng)絡(luò)就是 Pod 網(wǎng)絡(luò)，構(gòu)建于節(jié)點(diǎn)網(wǎng)絡(luò)之上
2024年01月16日
瀏覽(102)
云原生Kubernetes：K8S存儲(chǔ)卷
目錄一、理論 1.存儲(chǔ)卷 2.emptyDir 存儲(chǔ)卷 3.hostPath卷 4.NFS共享存儲(chǔ) 5.PVC 和 PV 6.靜態(tài)創(chuàng)建PV 7.動(dòng)態(tài)創(chuàng)建PV 二、實(shí)驗(yàn) ?1.emptyDir 存儲(chǔ)卷 2.hostPath卷 3.NFS共享存儲(chǔ) 4.靜態(tài)創(chuàng)建PV 5.動(dòng)態(tài)創(chuàng)建PV 三、問題 1.生成pod一直pending 2.shoumount -e未顯示共享目錄 3.靜態(tài)創(chuàng)建pv 報(bào)錯(cuò) 4.使用 Deployment 來創(chuàng)建
2024年02月07日
瀏覽(33)
云原生_kubernetes(k8s)介紹
目錄一、應(yīng)用部署方式演變二、k8s介紹三、k8s的組件四、k8s中的概念五、k8s資源管理方式 1、命令式對(duì)象管理 2、命令式對(duì)象配置 3、聲明式對(duì)象配置在部署應(yīng)用程序的方式上，主要經(jīng)歷了三個(gè)時(shí)代： 1 、物理機(jī)部署：互聯(lián)網(wǎng)早期，會(huì)直接將應(yīng)用程序部署在物理機(jī)上優(yōu)點(diǎn)
2023年04月13日
瀏覽(101)

<mark id="98wvz"><em id="98wvz"></em></mark>

<optgroup id="98wvz"></optgroup>

<label id="98wvz"><dfn id="98wvz"></dfn></label>