本文指导如何分析并修正Dockerfile,将USER设为非特权用户nobody,以及修改deployment.yaml中的securityContext,移除SYS_ADMIN字段并确保privileged设置为False,以符合Kubernetes的pod安全标准。
CKS 题库 7、Dockerfile检测
Task
分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像),
并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。
分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,
并修复在文件中拥有突出的安全/最佳实践问题的两个字段。
注意:请勿添加或删除配置设置;只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。
注意:如果您需要非特权用户来执行任何项目,请使用用户ID 65535 的用户 nobody 。
只修改即可,不需要创建。
参考
https://kubernetes.io/zh/docs/concepts/security/pod-security-standards/#restricted
解答:
切换集群
kubectl config use-context KSSC00301
修改Dockerfile
最低0.47元/天 解锁文章
扫一扫
被折叠的 条评论
为什么被折叠?
到【灌水乐园】发言
