[CKS] CIS基准测试,修复kubelet和etcd不安全项

已于 2024-11-25 12:50:33 修改
阅读量3k 收藏 11
点赞数 18
分类专栏: 一周通过CKS k8s 文章标签: batch 安全 开发语言
于 2024-11-09 14:12:15 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/agjllxchjy/article/details/143644043
版权

目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1

​ 专栏其他文章:

BackGround

针对 kubeadm创建的 cluster运行CIS基准测试工具时,发现了多个必须立即解决的问题。

Task

通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。

  • 修复针对kubelet发现的所有以下违规行为:
    • 1.1.1 确保将 anonymous-auth 参数设置为 false FAIL
    • 1.1.2 确保 --authorization-mode 参数未设置为 AlwaysAllow FAIL

注意:尽可能使用Webhook身份验证/授权。

  • 修复针对etcd发现的所有以下违规行为:
    • 2.1.1 确保 --client-cert-auth 参数设置为 true FAIL

Practice

Step 1: 切换到考试环境(通过ssh命令)考试的时候会给出来

Step 2: 修复kubelet不安全项目

    1. 首先我们需要明确的是kubelet的配置文件所在位置为/var/lib/kubelet/config.yaml,这时我们就需要对kubelet的配置文件做出以下修改:
...
authentication:
  anonymous:
    enabled: false
  webhook:
    cacheTTL: 0s
    enabled: true
...
authorization:
  mode: Webhook
  webhook:
    cacheAuthorizedTTL: 0s
    cacheUnauthorizedTTL: 0s

主要是对authentication.anonymous.enabled字段修改为falseauthentication.webhook.enabled字段修改为trueauthorization.mode.mode修改为Webhook

在这里插入图片描述

Step 3: 修复etcd不安全项目

  1. 首先我们需要明确的是etcd的配置文件所在位置为/etc/kubernetes/manifests/etcd.yaml ,所以我们需要对etcd的文件内容做出如下的更改
...
spec:
  containers:
  - command:
  ...
    - --client-cert-auth=true
  ...

就是将client-cert-auth字段设置为true

Step 4: 重启kubelet

systemctl daemon-reload 
systemctl restart kubelet

验证

大家可以使用kubectl get pod -A来进行验证,如果所有pod都启动成功了,则代表这个题目你做正确了

CKS学习笔记-CIS基准及使用
weixin_43394724的博客
10-09 992
概述 CIS安全基准 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案。 官网: cisecurity.org Kubernetes CIS基准: Resources • Platforms • Kubernetes kube-bench 互联网安全中心为保护代码的最佳实践提供了许多指南基准测试CIS 发布了Kubernetes的基准,即对这些测试的新开源实现:kube-bench。 它是作为 Go 应用程序
2024年网络安全最新CKS之k8s安全基准工具:kube-bench(3),网络安全面试问题答案
2401_84302628的博客
05-12 995
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于败之地的关键。一旦停止学习,我们便如同逆水行舟,进则退,终将被时代的洪流所淘汰。因此,断汲取新知识,仅是对自己的提升,更是对自己的一份珍贵投资。让我们断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
CKS】考试之 kube-bench CIS 基准测试
sinat_33076015的博客
09-05 431
kube-bench CIS 基准测试
[CKS] 关闭API凭据自动挂载
agjllxchjy的博客
11-12 511
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
2024年最新k8s-CKS真题-CIS基准测试安全扫描_cis基准检测(1),2024年最新手撕面试官
2401_84558914的博客
05-08 797
注意:尽可能使用 Webhook 身份验证/授权。
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4659
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
CKS之k8s安全基准工具:kube-bench
DwanCloud
03-20 1578
CKS之kube-bench介绍以及基础使用
Kubernetes安全深度解析:CKS实战与CIS基准
kube-bench是一款用于执行这些检查的工具,它可以检测master节点kubelet是否符合CIS基准,帮助管理员识别并修复潜在的安全风险。 cert-manager是一个用于自动化TLS证书管理的Kubernetes插件,它支持Let's Encrypt...
KubernetesK8s、CKS 认证实战班(安全专家)2022版
05-25
9. **实战演练与案例分析**:在课程中,我们将通过实际操作来巩固理论知识,包括创建配置安全策略,诊断并修复安全问题,以及分析解决安全事件。 10. **文档资料**:提供的完整文档资料将作为学习的辅助工具,...
[CKS] 执行Pod安全标准
agjllxchjy的博客
11-13 1548
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
K8S认证安全工程师(CKS)考试(最新版,实测可靠)
m0_60125201的博客
03-29 6808
k8s的全部考试答案,亲测可靠,博主CKA,CKS已过,欢迎交流。(求个关注吧)
[CKS]启用apiserver身份验证
agjllxchjy的博客
11-13 1499
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
firefox火狐 "Your connection is not secure" "Secure Connection Failed" 问题解决
热门推荐
白衣
07-11 4万+
firefox火狐 "Your connection is not secure" 问题解决症状:进去网站:firefox bing 登录上去哪怕是确定会出错的网站,比如昨晚还登的cn.bing.com 也被火狐拦下了:报错:Secure Connection Failed:原因:这是网站安全证书认证失败的结果,其原因有如下可能:1.自身网络有问题(导致获取/验证证书失败)2.)解决办法:参...
Linux命令-batch命令(在系统繁忙的时候执行定时任务)
RisunJan的博客
02-10 1006
batch命令 用于在指定时间,当系统繁忙时执行任务,用法与at相似。日期时间:指定任务执行的日期时间。
安全】VulnHub靶场 - W1R3S
风舞雪凌月的博客
06-02 673
本文记录了对W1R3S.inc服务器的渗透测试过程。通过扫描发现靶机开放21(FTP)、22(SSH)、80(HTTP)、3306(MySQL)端口,其中FTP存在匿名登录漏洞,获取到包含潜在密码线索的文档。Web服务发现Apache默认页面及Cuppa CMS安装界面,同时存在WordPress目录但访问受限。测试人员尝试了SSHMySQL的弱口令爆破未果,后续将重点利用FTP获取的信息Web应用漏洞进行深入渗透,最终目标是获取root权限并找到/root目录下的flag。测试过程展示了从信息收集到漏
当 “欧洲版 Cursor” 遇上安全危机
2401_86652632的博客
06-03 640
今年 3 月 20 日,Palmer 发现 Lovable 创建的 Linkable 网站存在漏洞,只需修改查询参数,就能获取项目 “用户” 表中的所有数据,他甚至因此看到了约 500 名该应用用户的电子邮件地址。漏洞报告显示,这项安全扫描仅仅是确定 Supabase 数据库是否启用访问控制,而对于控制选项是否正确配置这一关键问题,却选择了回避,导致网站依然面临数据操纵注入等严重安全问题,充分暴露出 Lovable 生态系统中系统性的 RLS 实施缺陷。在追求便捷开发的同时,安全能被忽视。
加密货币钱包开发指南:多链资产管理与非托管安全范式
最新发布
Lovely_xwys的博客
06-06 1046
后端:Rust(高性能核心模块) + Go(跨链通信层);前端:React Native(跨平台兼容) + Web3.js(区块链交互);区块链适配:以太坊Solidity、Solana Anchor框架。
本地部署企业邮箱,让企业办公更安全高效
U-Mail邮件服务器软件
06-06 456
基于安全性、个性化需求、系统集成等方面的考量,越来越多的企业倾向于选择本地部署企业邮箱,本地化部署仅能够有效守护企业信息安全,还能依据企业未来发展的需求,灵活调整企业邮箱系统的功能,甚至进行二次开发,同时实现与其他办公系统的无缝集成,为企业数字化办公提供坚实支撑。企业邮箱系统运行在稳定的环境中,访问速度更快,系统运行更可靠,能够有效避免因网络问题导致的邮件服务中断。本地部署的企业邮箱可以与企业现有的OA系统、CRM、ERP等办公系统无缝对接,形成统一的数字化办公平台。
第二章 2.3 数据存储安全风险之数据存储风险防范
weixin_43172311的博客
06-04 1163
大家好,今天我想大家聊聊一个既专业又与我们生活息息相关的话题——数据安全风险防控。无论你是普通用户还是技术从业者,了解这些内容都能帮助你在数字世界中更好地保护自己他人。
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葡萄皮Apple

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值