[CKS] Docker守护进程

目前的所有题目为2024年10月后更新的最新题库，考试的k8s版本为1.31.1

​ 专栏其他文章:

• [CKS] K8S Admission Set Up
• [CKS] CIS基准测试，修复kubelet和etcd不安全项
• [CKS] K8S NetworkPolicy Set Up
• [CKS] 利用Trivy对image进行扫描
• [CKS] 利用falco进行容器日志捕捉和安全监控
• [CKS] Audit Log Policy
• [CKS] Create/Read/Mount a Secret in K8S
• [CKS] K8S Dockerfile和yaml文件安全检测
• [CKS] K8S RuntimeClass SetUp
• [CKS] TLS Secrets创建与挂载
• [CKS] falco扫描发现访问指定文件pod
• [CKS] 使用ingress公开https服务
• [CKS] bom工具生成SPDX文档
• [CKS] 执行Pod安全标准
• [CKS] Docker守护进程
• [CKS]启用apiserver身份验证

Task

执行以下任务，以保护集群节点cks000037

• 从 docker 组中删除用户 developer

不要从任何其他组中删除用户

• 重新配置并重启Docker守护程序，以确保位于/var/run/docker.sock的套接字文件由root组拥有。

• 重新配置并重启Docker守护进程，以确保它不监听任何TCP端口。

完成工作后，确保Kubernetes集群保持健康状态。

Practice

Step 1: 删除docker组中的developer

id developer # 查看developer的信息，里面包含了所在的组
# uid=1001(developer) gid=0(root) groups=0(root),40(src),100(users),998(docker)
gpasswd -d developer docker
id developer
# uid=1001(developer) gid=0(root) groups=0(root),40(src),100(users)

Step 2: 重新配置并重启Docker守护程序，以确保位于/var/run/docker.sock的套接字文件由root组拥有

• 首先修改docker.socket，将SocketGroup字段设置为root

vim /usr/lib/systemd/system/docker.socket

• 修改docker.service，将[Service]下面ExecStart里面的-H tcp://0.0.0.0:2375删掉
  

• 最后重新启动docker

systemctl daemon-reload
systemctl restart docker.socket
systemctl restart docker.service 

检查

1. 确保/var/run/docker.sock为root用户

ls -l /var/run/docker.sock

2. 确保2375端口没有日志信息

ss -tunlp | grep 2375