[CKS] CIS基准测试,修复kubelet和etcd不安全项
目前的所有题目为2024年10月后更新的最新题库,考试的k8s版本为1.31.1
专栏其他文章:
- [CKS] K8S Admission Set Up
- [CKS] CIS基准测试,修复kubelet和etcd不安全项
- [CKS] K8S NetworkPolicy Set Up
- [CKS] 利用Trivy对image进行扫描
- [CKS] 利用falco进行容器日志捕捉和安全监控
- [CKS] Audit Log Policy
- [CKS] Create/Read/Mount a Secret in K8S
- [CKS] K8S Dockerfile和yaml文件安全检测
- [CKS] K8S RuntimeClass SetUp
- [CKS] TLS Secrets创建与挂载
- [CKS] falco扫描发现访问指定文件pod
- [CKS] 使用ingress公开https服务
- [CKS] bom工具生成SPDX文档
- [CKS] 执行Pod安全标准
- [CKS] Docker守护进程
- [CKS]启用apiserver身份验证
BackGround
针对 kubeadm创建的 cluster运行CIS基准测试工具时,发现了多个必须立即解决的问题。
Task
通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。
- 修复针对kubelet发现的所有以下违规行为:
- 1.1.1 确保将 anonymous-auth 参数设置为 false FAIL
- 1.1.2 确保 --authorization-mode 参数未设置为 AlwaysAllow FAIL
注意:尽可能使用Webhook身份验证/授权。
- 修复针对etcd发现的所有以下违规行为:
- 2.1.1 确保 --client-cert-auth 参数设置为 true FAIL
Practice
Step 1: 切换到考试环境(通过ssh命令)考试的时候会给出来
Step 2: 修复kubelet不安全项目
-
- 首先我们需要明确的是kubelet的配置文件所在位置为
/var/lib/kubelet/config.yaml,这时我们就需要对kubelet的配置文件做出以下修改:
- 首先我们需要明确的是kubelet的配置文件所在位置为
...
authentication:anonymous:enabled: falsewebhook:cacheTTL: 0senabled: true
...
authorization:mode: Webhookwebhook:cacheAuthorizedTTL: 0scacheUnauthorizedTTL: 0s
主要是对authentication.anonymous.enabled字段修改为false,authentication.webhook.enabled字段修改为true,authorization.mode.mode修改为Webhook
Step 3: 修复etcd不安全项目
- 首先我们需要明确的是etcd的配置文件所在位置为
/etc/kubernetes/manifests/etcd.yaml,所以我们需要对etcd的文件内容做出如下的更改
...
spec:containers:- command:...- --client-cert-auth=true...
就是将client-cert-auth字段设置为true
Step 4: 重启kubelet
systemctl daemon-reload
systemctl restart kubelet
验证
大家可以使用kubectl get pod -A来进行验证,如果所有pod都启动成功了,则代表这个题目你做正确了