k8s学习-CKS真题-Trivy扫描镜像安全漏洞

已于 2023-06-24 18:25:36 修改
阅读量1.2k 收藏
点赞数 2
分类专栏: # 云原生安全 # CKS 文章标签: kubernetes CKS Pod
于 2023-04-16 12:02:35 首次发布
版权声明:本文为博主原创文章,遵循 CC 4.0 BY-SA 版权协议,转载请附上原文出处链接和本声明。
本文链接:https://blog.youkuaiyun.com/lady_killer9/article/details/129472623
版权

目录

对应b站视频: CKS题目-Trivy扫描镜像漏洞

题目

Task
使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。
查找具有 High 或 Critical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。
注意:Trivy 仅安装在 cluster 的 master 节点上,在工作节点上不可使用。
你必须切换到 cluster 的 master 节点才能使用 Trivy。

环境搭建

下载trivy

https://github.com/aquasecurity/trivy/releases/tag/v0.34.0

安装
读者根据自己的操作系统版本安装即可,这里博主是centos7。
命令

rpm -ivh trivy_0.34.0_Linux-64bit.rpm

截图
在这里插入图片描述
创建命名空间和pod
命令

kubectl create ns kamino
kubectl run nginx --image=nginx -n kamino
kubectl run alpine --image=alpine:3.14 -n kamino

截图
在这里插入图片描述

解题

获取所有镜像
命令

kubectl get po -n kamino -o yaml | grep image:

截图
在这里插入图片描述
第一需要下载库(考试时不需要)
命令

trivy image -s "HIGH,CRITICAL" alphine:3.14

截图
在这里插入图片描述
之后添加–skip-update参数即可
命令

trivy image --skip-update -s "HIGH,CRITICAL" nginx:latest

结果
在这里插入图片描述
一个个镜像手动扫描也不方便,问了下ChatGPT,搞成了一条命令。
在这里插入图片描述

kubectl get pods -n kamino -o jsonpath='{range .items[*]}{.metadata.name}{"\t"}{range .spec.containers[*]}{.image}{"\n"}{end}{end}' | tr ' ' '\n' | sort -u | xargs -I {} trivy --skip-update --severity "HIGH,CRITICAL" {} | tee res.txt

删除pod命令

kubectl delete po xxx -n kamino

b站视频中使用的命令

kubectl get po -n applications -o yaml | grep '\- image'
{ for i in nginx:1.19.1-alpine-perl nginx:1.19.1-alpine-perl nginx:1.20.2-alpine; do trivy image -s HIGH,CRITICAL $i > $i.txt; done }
kubectl scale deploy web1 -n applications -o yaml

模拟题

在这里插入图片描述

参考

github-trivy
更多k8s相关内容,请看文章:k8s学习-思维导图与学习笔记

CKS镜像漏洞扫描工具:Trivy
DwanCloud
03-26 1307
Trivy是一款用于扫描容器镜像、文件系统、Git仓库等的漏洞扫描工具它可以发现目标软件存在的漏洞、配置错误、敏感信息等安全问题Trivy易于安装和使用,可与CI系统集成。
集群scan_扫描k8s集群中的漏洞
weixin_29927289的博客
01-14 761
Kubei是一个漏洞扫描和CIS Docker基准测试工具,它能够对kubernetes集群进行准确,即时的风险评估。Kubei扫描Kubernetes集群中正在使用的所有图像,包括应用程序Pod和系统Pod镜像。它不会扫描整个镜像注册表,也不需要与CI / CD进行初步集成。它是一种可配置的工具,可以定义扫描范围(目标名称空间),速度和关注的漏洞级别,还提供了图形用户界面。安装要求:...
K8s:开源安全平台 kubescape 实现 Pod 的安全合规检查/镜像漏洞扫描
山河已无恙
03-03 1252
生产环境中的 k8s 集群安全不可忽略,即使是内网环境容器化的应用部署虽然本质上没有变化,始终是机器上的一个进程但是提高了安全问题的处理的复杂性分享一个开源的 k8s 集群安全合规检查/漏洞扫描 工具kubescape博文内容涉及:kubescape简介介绍kubescape命令行工具安装,扫描运行的集群kubescape在集群下安装,通过 kubescape Clound 可视化查看扫描信息理解不足小伙伴帮忙指正需要有科学上网环境对每个人而言,真正的职责只有一个:找到自我。
Kubernetes(K8S) 之 使用 kube-bench 检测 k8s 集群的漏洞
li1121567428的博客
06-29 681
kube-bench检测k8s集群的漏洞 https://github.com/aquasecurity/kube-bench/releases/tag/v0.6.2 [root@k8s-01 ~]# tar -xvf kube-bench_0.6.2_linux_amd64.tar.gz [root@k8s-01 ~]# ./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml master [root@k8s-01 ~]#
【云原生-K8s镜像漏洞安全扫描工具Trivy部署及使用(1)
2401_84971057的博客
05-13 1086
Trivy是一个开源的容器镜像漏洞扫描器,可以扫描常见的操作系统和应用程序依赖项的漏洞。它可以与Docker和Kubernetes集成,帮助用户在构建和部署容器镜像时发现安全漏洞Trivy支持多种漏洞数据库,包括Red Hat、Debian、Alpine等,可以根据用户的需求进行配置。Trivy还支持CI/CD集成,可以在构建过程中自动扫描镜像并生成报告。
k8s学习-CKS真题-Trivy扫描镜像安全漏洞_使用trivy镜像扫描
2401_84263282的博客
04-26 580
对应b站视频: CKS题目-Trivy扫描镜像漏洞下载trivy 安装 读者根据自己的操作系统版本安装即可,这里博主是centos7。 命令 截图 创建命名空间和pod 命令 截图 获取所有镜像 命令 截图 第一需要下载库(考试时不需要) 命令 截图 之后添加–skip-update参数即可 命令 还有兄弟不知道网络安全面试可以提前刷题吗?费时一周整理的160+网络安全面试题,金九银十,做网络安全面试里的显眼包!王岚嵚工程师面试题(附答案),只能帮兄弟们到这儿了!如果你能答对70%,找一个安全工作,问
k8s学习-CKS真题-ImagePolicyWebhook容器镜像扫描_imagepolicywebhook 容器镜像扫描
2301_77121488的博客
04-26 515
测试验证文件。
2024年k8s学习-CKS真题-网络策略精细化控制_cks模拟题
2401_84264096的博客
05-02 404
创建products-service修改products-service.yamlpod打标签(default下的busybox-demo,请读者自行创建)
2024年网络安全最新k8s学习-CKS真题-Dockerfile和deployment优化_cks dockerfile(1),面试网络安全系统架构
2401_84281729的博客
05-07 735
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
k8s学习-CKS真题-Pod指定ServiceAccount_cks 考题
2401_84254530的博客
04-26 329
在结束之际,我想重申的是,学习并非如攀登险峻高峰,而是如滴水穿石般的持久累积。尤其当我们步入工作岗位之后,持之以恒的学习变得愈发不易,如同在茫茫大海中独自划舟,稍有松懈便可能被巨浪吞噬。然而,对于我们程序员而言,学习是生存之本,是我们在激烈市场竞争中立于不败之地的关键。一旦停止学习,我们便如同逆水行舟,不进则退,终将被时代的洪流所淘汰。因此,不断汲取新知识,不仅是对自己的提升,更是对自己的一份珍贵投资。让我们不断磨砺自己,与时代共同进步,书写属于我们的辉煌篇章。需要完整版PDF学习资源私我。
K8S-Demo集群实践00:搭建镜像仓库Harbor+安全扫描
jasonhe2018的博客
01-22 637
K8S-Demo集群实践:搭建镜像仓库Harbor+安全扫描一、安装Docker-compose1、下载docker-compose2、查看docker-compose版本号二、安装harbor1、下载并解压到/usr/local/目录下2、修改配置3、安装三、访问测试四、添加镜像扫描器参考 用VMware创建一台虚拟机,安装CentOS7.9,4C/4G 安装Docker-compose,要先装Docker,参见准备VMware虚拟机模板 一、安装Docker-compose 1、下载docker-c
[CKS] 利用Trivy对image进行扫描
最新发布
agjllxchjy的博客
11-09 960
最近准备花一周的时间准备CKS考试,在准备考试中发现有一个题目关于不安全项目修复的题目。
镜像扫描+基于策略的镜像提升”,打造安全的 Kubernetes 供应链!
Docker公司
03-02 1062
出品丨Docker公司(ID:docker-cn)编译丨小东每周一、三、五晚6点10分  与您不见不散说在前面上个月 Docker 企业版(EE)容器平台的测试发行版集成了可以与 Swarm 并存运行的 Kubernetes 编排,从而提供了统一的平台来支持传统和新的应用程序在本地或云端中运行。对于正在探索 Kubernetes 或正在将 Kubernetes 部署到生产环境的组织来说,Docke
K8S认证】2023年CKS考题-Trivy镜像扫描(解析+答案)
u014481728的博客
10-27 1850
K8S认证】2023年CKS考题-Trivy镜像扫描(解析+答案)
CKS】考试之 Trivy 镜像扫描
sinat_33076015的博客
09-07 328
切换 Context 后, ssh 到对应的 master 节点。
CKS1.23 考试题整理(10)-Trivy扫描镜像安全漏洞
april_4的博客
04-19 1047
题目 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像Pod。 参考 kubectl 备忘单 | Kubernetes 解答 获取所有namespace下的pod kubectl get pods --namespace kamino --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.container
k8s部署nessus并进行集群主机漏扫
回锅呦的博客
01-23 1027
nessus
综合扫描 -- K8scan
Web安全工具库
01-29 1163
你学不进的东西有人学,你不经历的有人经历,你吃不了的苦有人吃,想让人望而生畏,就要拿出常人百倍的野心去奋斗。。。 ---- 网易云热评 ​ 一、软件介绍 K8Cscan一款专用于大型内网渗透的高并发插件化扫描神器,包含信息收集、网络资产、漏洞扫描、密码爆破、漏洞利用,支持批量A段/B段/C段以及跨网段扫描。5.4版本内置28个功能模块,通过各种协议以及方法快速获取目标网络存活主机IP、计算机名、工作组、网络共享、网卡物理地址、操作系统版本、网站域名、Web中间件、路由器(Cisco)、数据库等网络.
K8S 生态周报| Trivy 发布新版本
k8s 生态
06-15 378
K8S 生态周报」内容主要包含我所接触到的 K8S 生态相关的每周值得推荐的一些信息。欢迎订阅知乎专栏「k8s 生态」 ( https://zhuanlan.zhihu.com/con...
评论 1
添加红包

请填写红包祝福语或标题

红包个数最小为10个

红包金额最低5元

当前余额3.43前往充值 >
需支付:10.00
成就一亿技术人!
领取后你会自动成为博主和红包主的粉丝 规则
hope_wisdom
发出的红包

打赏作者

lady_killer9

感谢您的打赏,我会加倍努力!

¥1 ¥2 ¥4 ¥6 ¥10 ¥20
扫码支付:¥1
获取中
扫码支付

您的余额不足,请更换扫码支付或充值

打赏作者

实付
使用余额支付
点击重新获取
扫码支付
钱包余额 0

抵扣说明:

1.余额是钱包充值的虚拟货币,按照1:1的比例进行支付金额的抵扣。
2.余额无法直接购买下载,可以购买VIP、付费专栏及课程。

余额充值