[CKS]启用apiserver身份验证

已于 2024-11-25 12:43:52 修改
阅读量1.4k 收藏 10
点赞数 13
分类专栏: 一周通过CKS k8s 文章标签: kubernetes 容器 安全
于 2024-11-13 14:00:00 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/agjllxchjy/article/details/143722197
版权

目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1

​ 专栏其他文章:

BackGround

出于测试目的,由 kubeadm 创建的 cluster 的 Kubernetes API 服务器临时配置为,允许未经身份验证和未经授权的访问。

Task

首先,按照以下方式配置集群的API服务器,以确保其安全:

  • 禁止匿名身份验证
  • 使用授权模式 Node,RBAC
  • 使用准入控制器 NodeRestriction

注意:所有kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。
你不必更改它,但请注意,一旦完成集群的安全加固, kubectl 的配置将无法工作。
您可以使用集群位于 /etc/kubernetes/admin.conf 的原始kubectl配置文件来访问受保护的集群。

然后,请删除ClusterRoleBinding system:anonymous 来进行清理。

Practice

Step 1 : 配置集群的API服务器

vi /etc/kubernetes/manifests/kube-apiserver.yaml

如图,将--authorization-mode设置为Node,RBAC--enable-admission-plugins设置为NodeRestriction --anonymous-auth设置为false
在这里插入图片描述
然后重启kubelet

systemctl daemon-reload
systemctl restart kubelet

Step 2: 删除clusterrolebinding

kubectl --kubeconfig=/etc/kubernetes/admin.conf delete clusterrolebinding system:anonymous
CKS认证是什么?
mianbaojiayou的博客
01-17 7389
CKSKubernetes认证体系下的认证,CKS全称是Certified Kubernetes Security Specialist,中文名就是Kubernetes安全专家认证,考取这个证书之后证明考生具备在构建、部署和运行期间确保基于容器的应用程序和Kubernetes平台安全的必要能力,并且有资格在专业环境中执行这些任务。 CKS和CKA认证一样都是实操的认证考试,它在一个模拟真实的环境中测试考生对Kubernetes和云安全的知识。在参加CKS考试之前,考生必须已经通过Kubernetes管理
云原生Kubernetes | CKS认证总结
weixin_50471413的博客
08-20 1090
【代码】云原生Kubernetes | CKS认证总结
[CKS] CIS基准测试,修复kubelet和etcd不安全
agjllxchjy的博客
11-09 3022
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于不安全项目修复的题目。
kubernetes认证-CKA、CKS考试
热门推荐
西京刀客
04-17 3万+
K8s的专业技术认证主要有以下几种: * CKA(Kubernetes 管理员认证) * CKAD(Kubernetes 应用程序开发者认证) * CKSKubernetes 认证安全专家。预计2020年11月开放,须先通过CKA认证)
K8S容器技能认证 -CKA&CKS认证从零到一
m0_57042151的博客
12-16 5238
CKA (Certifified Kubernetes Administrator),旨在确保 CKA 认证人员具有履行 Kubernetes 管理员职责的技能、知识和能力。通过认证的Kubernetes管理员具备了包括基础安装和配置、管理产品级别的Kubernetes 集群方面的能力。它是对Kubernetes操作人员对Kubernetes核心应用能力的一种检测,也是企业较看重的技术能力之一。
Kubernetes认证考试CKS主要知识点介绍
专注于数据库技术分享,包含但不限于Oracle,MySQL,PostgreSQL,ElasticSearch及国产数据库等
04-22 1136
CKS (Certified Kubernetes Security Specialist) 是由 Cloud Native Computing Foundation (CNCF) 提供的一项专注于 Kubernetes 安全领域的专业认证。该认证旨在验证考生在设计、实施和维护安全Kubernetes 集群方面的能力。
2024 CKS 题库 | 14、启用API server认证
aifeier的博客
03-12 850
重新配置 cluster 的 Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST 请求。您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件。你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限.,以确保经过身份验证的授权的请求仍然被允许。远程到 master 并切换到 root。
k8s_CKA考试_学习笔记
bq_o_pd的博客
12-14 560
那些年,关于CKA&CKS认证的那些事儿?
最美dee时光的博客
11-26 2110
遥想2020年的年初,疫情封城封村之际,工作之余在B站将尚硅谷的linux中的k8s视频完整系统的学习了一遍,自此像是打通了任督二脉一般,开启了对k8s的探索之旅,一路也是磕磕绊绊的在工作中使用k8s。终于在23年的6月仲夏,在同事的鼓励下,报考了CKA认证,之后又考了CKS,再次将k8s的知识点贯穿了一遍,也算是从最初的朦胧到现在的掌握形成了一个闭环。
Kubernetes 认证安全专家(CKS)学习指南(一)
龙哥盟
01-06 1657
CKS 考试验证你在 Kubernetes 中与安全相关的实际操作知识。你需要理解核心 Kubernetes 基元和概念,以满足安全需求,如 RBAC、网络策略和 Ingress。考试还涉及有用的第三方安全工具。你需要展示如何有效地使用这些工具。通过 CKA 考试是 CKS 考试的必要条件。如果你还没有通过 CKA 考试,请确保先通过 CKA。以下章节与考试大纲一致,这样你可以将内容映射到学习目标上。每章结束时,你会找到一些示例练习来巩固你的知识。每个领域的讨论以对最重要的学习要点的简短总结结束。
[CKS] 关闭API凭据自动挂载
agjllxchjy的博客
11-12 511
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
【K8S认证】2023年CKS考题-TLS安全配置(解析+答案)
u014481728的博客
10-27 3363
【K8S认证】2023年CKS考题-TLS安全配置(解析+答案)
[CKS] 执行Pod安全标准
agjllxchjy的博客
11-13 1548
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
Kubernetes 安全专家(CKS)必过心得
wolaisongfendi的博客
08-29 3053
Kubernetes 认证安全专家 (CKS) 计划由云原生计算基金会 (CNCF) 与 Linux 基金会合作创建,旨在帮助开发 Kubernetes 生态系统。本分分享了CKS认证考试的通过新的,包括了注意事项以、备考方法、练习和一些真题分析。祝各位考试顺利通过!......
[CKS] 使用ingress公开https服务
agjllxchjy的博客
11-12 1330
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
关于Kubernetes——cka认证含金量怎么样?
Cheese_Y的博客
11-01 2088
目前CKA持证人数并不多,但是市场空间巨大,可谓是供不应求。
CKSKubernetes 安全专家认证)25年报考指南
最新发布
2501_90496024的博客
02-07 1083
【报名缴费】→【开通课程-进入考试群-下载学习资料】→【注册考试码】→【学习备考】→【预约考试】→【参加考试】→【获得证书】考生需于购买考试后的一个月内注册考试券。
[CKS] Docker守护进程
agjllxchjy的博客
11-13 1183
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
[CKS] TLS Secrets创建与挂载
agjllxchjy的博客
11-11 1213
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
cks真题falco
01-08
### CKS 认证中 Falco 相关真题及答案解析 在 Kubernetes 安全领域,Falco 是一款广泛使用的开源工具,用于检测和告警潜在的安全威胁。以下是关于 Falco 的几道典型 CKS 考试题目及其解答。 #### 题目一:安装并配置 Falco 进行安全监控 问题描述如下: 给定一个运行中的 Kubernetes 集群,在该集群上部署 Falco 并设置其监听特定类型的事件(如特权容器启动),并将日志发送至远程服务器。 解决方案概述: 为了实现上述需求,可以按照以下方式操作: 1. 使用 Helm Chart 或 YAML 文件来部署 Falco; 2. 修改 `falco.yaml` 中的日志输出位置以及目标地址; 3. 编写自定义规则文件以匹配所需条件; 具体命令如下所示[^1]: ```bash helm repo add falcosecurity https://falcosecurity.github.io/charts helm install falco falcosecurity/falco \ --set auditLogSource.enabled=true \ --set output.file.path=/var/log/falco.log \ --set outputs="stdout,syslog:server=udp://remote.server.com:514" ``` 对于编写自定义规则,则可以通过编辑 `/etc/falco/rules.d/custom_rules.yaml` 来完成。例如添加一条针对特权模式容器创建的通知规则[^2]: ```yaml - list: container_privileged items: - 'spawned a privileged container' - macro: is_container_privileged_event condition: evt.type = container and container.privileged - rule: Privileged Container Created desc: > Detects when a new privileged container has been created. condition: is_container_privileged_event output: "Privileged container detected (command=%proc.cmdline user=%user.name)" priority: WARNING ``` #### 题目二:理解 Falco 日志格式与字段含义 此部分考察考生能否正确解读由 Falco 产生的日志条目,并从中提取有用信息的能力。通常情况下,每条记录都包含了丰富的上下文数据,比如进程名称、参数列表、时间戳等。 样例日志片段展示: ``` {"output":"17:09:06.876677000: Warning File below /etc modified (user=root command=\"touch /tmp/test\" file=\"/etc/hosts\")","priority":2,"rule":"File below etc changed"} ``` 这里的关键在于识别不同属性的意义,像 `output`, `priority`, 和 `rule` 字段分别代表了什么内容?如何利用这些元数据来进行进一步分析? 解释说明: - **Output**: 描述触发报警的具体行为细节。 - **Priority**: 表示严重程度级别,分为 DEBUG/INFO/WARNING/ERROR 四级。 - **Rule**: 对应于哪条预设或用户自定义的规则被触发展开动作。 通过掌握以上知识点可以帮助更好地理解和处理来自 Falco 的各类通知消息。
评论 2
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

葡萄皮Apple

你的鼓励将是我创作的最大动力

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值