[CKS] 关闭API凭据自动挂载

最新推荐文章于 2024-12-09 10:00:00 发布
最新推荐文章于 2024-12-09 10:00:00 发布
阅读量511 收藏 5
点赞数 1
文章标签: kubernetes 容器 安全
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/agjllxchjy/article/details/143712370
版权

目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1

BackGround

安全审计发现某个Deployment有不合规的服务账号令牌,这可能导致安全漏洞。

Task

  • 首先,修改monitoring namespace中现有的stats-monitor-sa ServiceAccount,以关闭API凭据自动挂载。

  • 然后,修改monitoring namespace中现有的stats-monitor Deployment, 以注入装载在/var/run/secrets/kubernetes.io/serviceaccount/token的ServiceAccount令牌。

使用名为token的投射卷,来注入ServiceAccount令牌,并确保它以只读方式挂载。

部署的清单配置文件可以在以下位置找到: ~/stats-monitor/deployment.yaml

Practice

题目参考文档为: https://kubernetes.io/docs/tasks/configure-pod-container/configure-service-account/

Step 1: 修改SA,关闭API凭据自动挂载

kubectl edit sa -n monitoring stats-monitor-sa

在yml文件的最后加入automountServiceAccountToken: false 这一段则代表,关闭API凭据自动挂载
在这里插入图片描述

Step 2:修改deployment挂载SA

vi deployment.yaml

添加以下标红内容,这个在我发的那个wiki里面可以找到,不需要特别记忆
在这里插入图片描述
修改完成后,执行下面的命令

kubectl apply -f deployment.yaml
CKS 认证实战班视频课程2022
03-09
分享一套CKS视频教程,2022年1月结课的新课 课程大纲: 第1章 开班仪式 第2章 模块一:Kubernetes集群设置 第3章 模块二:Kubernetes 集群强化 第4章 模块三:Kubernetes 系统强化 第5章 模块四:最小化微服务漏洞 ...
最新版K8S cks 1.24 EXAM练习备考必备
11-03
在这个任务中,我们需要创建一个名为 backend-sa 的新 ServiceAccount,并确保其不自动挂载 API 凭据。然后,我们使用清单文件创建一个 Pod,并清理 namespace 中的未使用 ServiceAccount。 Task 2: 编辑 Role 和...
cks 试题
爱死亡机器人
01-16 6691
文章目录1.镜像扫描ImagePolicyWebhook2. sysdig检测pod3. clusterroole4. AppArmor5. PodSecurityPolicy6. 网络策略7. dockerfile检测及yaml文件问题8. pod安全9. 创建SA10. trivy检测镜像安全11. 创建secret12. kube-benct13. gVsior14. 审计15. 默认网络策略 考试信息 2小时 15-20题目 预约时间同CKA,32小时出成绩 满分不到100分,87分或93分,但6
云原生|kubernetes|2022年底cks真题解析(1-10)
zsk_john的技术分享专用博客
01-15 4659
解析: 这一题是两个任务,第一个任务是dockerfile的安全排查,dockerfile里是镜像版本不正确,需要修改为ubuntu:16.04还一个是USER指定的是root,修改为nobody就可以了,十分简单的两个地方。 第二个任务是/cks/docker/deployment.yaml文件的安全排查,一个是pod的安全上下文权限问题,一个是标签问题
k8s学习-CKS真题-Pod指定ServiceAccount
关注网络安全、云原生安全
02-04 1219
2. 使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod,使用上面创建的ServiceAccount。1.在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount, 确保此。3. 最后,清理 namespace qa 中任何未使用的ServiceAccount。这块实际操作的时候yaml敲成了yml,影响不大,就没有重新弄了。ServiceAccount 不自动挂载 API 凭据。在创建sa的yaml中添加。
CKS真题分析-2023年度
李凯的博客
10-31 4078
CKS 2023CKS CKS真题解析
[CKS] 执行Pod安全标准
agjllxchjy的博客
11-13 1548
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1。
[CKS]启用apiserver身份验证
agjllxchjy的博客
11-13 1499
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1。
2021年CKS 最新大纲.docx
01-31
CKS 认证大纲详解 CKS(Certified Kubernetes Security Specialist)认证是一种专业认证,旨在验证个人的 Kubernetes 安全专门知识和技能。以下是 CKS 认证大纲的详细解释: CKS 认证大纲 CKS 认证大纲涵盖了 ...
中科芯CKS32F103C资源包
01-12
本资源包是针对中科芯(China Star Electronics,简称CSE)的CKS32F103C系列微控制器(MCU)提供的,主要用于开发者进行产品设计与开发。CKS32F103C8T6是该系列中的一个型号,其在性价比上相对于其他32位MCU有一定的...
CKS32F030K6T6.zip
05-08
CKS32F030K6T6核心板硬件资料、CKS32F030K6T6编程外设库、CKS32F030K6T6芯片资料、CKS32F030K6T6工程模板(Keil5)(库函数),STM32F030K6T6替代料
[CKS] Create/Read/Mount a Secret in K8S
agjllxchjy的博客
11-10 1489
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于读取、创建以及挂载secret的题目
2024 CKS 题库 | 16、ImagePolicyWebhook容器镜像扫描
aifeier的博客
03-14 2104
https://kubernetes.io/zh/docs/reference/access-authn-authz/admission-controllers/#如何启用一个准入控制器。https://kubernetes.io/zh/docs/tasks/debug/debug-cluster/audit/#log-后端。在- command:下添加如下内容,注意空格要对齐(不建议放到最后,建议放置的位置详见下方截图)完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。通过尝试部署易受攻击的资源。
k8s学习-CKS真题-启用API Server认证,禁止匿名访问
关注网络安全、云原生安全
04-22 1285
ps:考试环境应该是已有的,–user=system:anonymous的clusterrolebinding。创建一个名为system:anonymous的clusterrolebinding。查询用户system:anonymous的clusterrilebinding。确保只有认证并且授权过的 REST 请求才被允许。这个等我考前有模拟环境时再做补充。删除题目要求的角色绑定。
2024 CKS 题库 | 12、Sysdig & falco
aifeier的博客
02-25 1710
注意要写container name,而不是pod name,只是模拟环境里,pod name和container name一样,都是tomcat123)注意,考试时,你要通过上面命令grep pod name,然后你要记住的是container name。请注意,考试时,考题里已表明sysdig在工作节点上,所以你需要ssh到开头写的工作节点上。提示:如果考试时执行sysdig报错“Unable to load the driver”,则执行下面一条命令:(模拟环境里不需要执行)
[CKS] CIS基准测试,修复kubelet和etcd不安全
agjllxchjy的博客
11-09 3022
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于不安全项目修复的题目
CKA认证考题+实操
喝醉酒的小白
01-12 3868
cka
CKS最新模拟真题】根文件系统配置为只读
最新发布
菜鸟运维升级之路
12-09 501
Namespace team-purple中的 Deployment immutable-deployment应该运行不可变,它是从cks7262节点上的/opt/course/19/immutable-deployment.yaml 文件创建的。即使在成功闯入后,攻击者也应该不可能修改正在运行的容器的文件系统。将更新的 YAML 保存在cks7262下/opt/course/19/immutable-deployment-new.yaml 并更新正在运行的 Deployment。
2024年最全k8s学习-CKS真题-利用AppArmor进行应用行为限制_container(1)
2401_84301922的博客
05-02 413
在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。查看配置文件,加载配置文件,查看加载的配置中是否有对应profile。最后,应用清单文件并创建其中指定的 Pod。
2022版Kubernetes CKS认证备考实战班视频教程
教程内容覆盖了Kubernetes安全架构、集群安全、网络策略、安全上下文、容器安全API安全等多个方面,为学员提供了一套完整的文档资料,帮助他们在准备CKS认证考试时更有把握。" 1. Kubernetes(K8s)基础与架构 ...
评论
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葡萄皮Apple

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值