首页
视频
资源
登录
原
Kubernetes 安全检测Kube-bench
6199
人阅读
2022/3/27 21:30
总访问:
2610902
评论:
0
收藏:
0
手机
分类:
容器编排
![](https://img.tnblog.net/arcimg/hb/221977ff23684b64b68d365606bfbef6.png) >#Kubernetes 安全检测Kube-bench [TOC] ##简介 tn2>Kube-bench可以检查Kubernetes是否根据CIS Kubernetes基准中定义的安全最佳实践进行部署。 ##安装 tn2>运行如下命令安装Kube-bench ```bash docker run --rm -v `pwd`:/host aquasec/kube-bench:latest install ./kube-bench ``` tn>更多安装方式请参考:https://github.com/aquasecurity/kube-bench/blob/main/docs/running.md ![](https://img.tnblog.net/arcimg/hb/404930af21bf4a4a8c232c479062dfd2.png) ##检查 tn2>检查对k8s控制节点进行压测 ```bash ./kube-bench master ``` ![](https://img.tnblog.net/arcimg/hb/c479deed477b49e7ad7094ad5ff9c865.png) tn2>检查完成后呢,我们发现它有10个问题。 ### 解决问题 tn2>我们以设置`--kubelet-certificate-authority`为例。 ![](https://img.tnblog.net/arcimg/hb/32e82bc2821f49ee8df96bf28cd74727.png) tn2>我们通过设置证书授权来改善kubernetes. ```bash # 修改kube-apiserver.yaml vim /etc/kubernetes/manifests/kube-apiserver.yaml # 添加证书授权 - --kubelet-certificate-authority=/etc/kubernetes/pki/ca.crt ``` ![](https://img.tnblog.net/arcimg/hb/9e6ff30ce73e4019ac634fcdd6a1db80.png) tn2>随后重启kubelet,并再次检查,我们就会发现这个问题以及解决了。 ```bash systemctl daemon-reload systemctl restart kubelet.service ./kube-bench master ``` ![](https://img.tnblog.net/arcimg/hb/97b0b4b80a2a45d885eb0614827caec0.png) tn2>通过它的一些问题描述来一点点改善我们的集群环境。 ### 常见问题 >###问题一 tn2>授权模式不应设置为AlwaysAllow,而应包括Node和RBAC。 实例地址ip设置无效。 不安全端口失败参数应该设置为0。 ![](https://img.tnblog.net/arcimg/hb/ddbcf9329278401bb91e10e6f3e5c224.png) tn2>解决方法 ```bash vim /etc/kubernetes/manifests/kube-apiserver.yaml # - --authorization-mode=AlwaysAllow - --authorization-mode=Node,RBAC # - --insecure-bind-address=0.0.0.0 - --insecure-port=0 ``` >### 问题二 tn2>确保`anonymous-auth`参数设置为false 确保`--authorization-mode`参数不能设置为AlwaysAllow 尽可能的使用webhook authn或authz ![](https://img.tnblog.net/arcimg/hb/1d7f5bc3600d4b7496a83a95f9c5e8b7.png) ```bash vim /var/lib/kubelet/config.yaml # master和node都需要改配置 anonymous: enabled: false authorization: mode: Webhook ``` ```bash systemctl daemon-reload systemctl restart kubelet.service ``` >### 问题三 tn2>确保etcd的`--client-cert-auth`失败设置为true ![](https://img.tnblog.net/arcimg/hb/5d1c8b1134c84bab9d0cf2b2276f5a8b.png) ```bash vim /etc/kubernetes/manifests/etcd.yaml - --client-cert-auth=true systemctl daemon-reload systemctl restart kubelet.service ```
欢迎加群讨论技术,1群:677373950(满了,可以加,但通过不了),2群:656732739
👈{{preArticle.title}}
👉{{nextArticle.title}}
评价
{{titleitem}}
{{titleitem}}
{{item.content}}
{{titleitem}}
{{titleitem}}
{{item.content}}
尘叶心繁
这一世以无限游戏为使命!
博主信息
排名
6
文章
6
粉丝
16
评论
8
文章类别
.net后台框架
168篇
linux
17篇
linux中cve
1篇
windows中cve
0篇
资源分享
10篇
Win32
3篇
前端
28篇
传说中的c
4篇
Xamarin
9篇
docker
15篇
容器编排
101篇
grpc
4篇
Go
15篇
yaml模板
1篇
理论
2篇
更多
Sqlserver
4篇
云产品
39篇
git
3篇
Unity
1篇
考证
2篇
RabbitMq
23篇
Harbor
1篇
Ansible
8篇
Jenkins
17篇
Vue
1篇
Ids4
18篇
istio
1篇
架构
2篇
网络
7篇
windbg
4篇
AI
18篇
threejs
2篇
人物
1篇
嵌入式
2篇
python
13篇
HuggingFace
8篇
pytorch
9篇
opencv
6篇
Halcon
1篇
最新文章
最新评价
{{item.articleTitle}}
{{item.blogName}}
:
{{item.content}}
关于我们
ICP备案 :
渝ICP备18016597号-1
网站信息:
2018-2024
TNBLOG.NET
技术交流:
群号656732739
联系我们:
contact@tnblog.net
欢迎加群
欢迎加群交流技术