K8S认证安全工程师(CKS)考试(最新版,实测可靠)

这篇具有很好参考价值的文章主要介绍了K8S认证安全工程师(CKS)考试(最新版,实测可靠)。希望对大家有所帮助。如果存在错误或未考虑完全的地方,请大家不吝赐教,您也可以点击"举报违法"按钮提交疑问。

k8s的全部考试答案,亲测可靠,博主CKA,CKS已过,欢迎交流。(求个关注吧)

1、kube-bench 修复不安全项

Context

针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。

Task

通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。

修复针对 API 服务器发现的所有以下违规行为:

1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL

1.2.8 Ensure that the --authorization-mode argument includes Node FAIL

1.2.9 Ensure that the --authorization-mode argument includes RBAC FAIL

1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL (v1.28 考题中这项没给出,但最好也检查一下,模拟环境是里需要改的)

修复针对 kubelet 发现的所有以下违规行为:

Fix all of the following violations that were found against the kubelet:

4.2.1 Ensure that the anonymous-auth argument is set to false FAIL

4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL

注意:尽可能使用 Webhook 身份验证/授权。

修复针对 etcd 发现的所有以下违规行为:

Fix all of the following violations that were found against etcd:

2.2 Ensure that the --client-cert-auth argument is set to true FAIL

模拟环境里,初始化这道题的脚本为 kube-bench.sh

candidate@node01:~$ ssh master01
candidate@master01:~$ sudo -i
root@master01:~$ sh kube-bench.sh //模拟这道题的初始环境
root@master01:~$ mkdir bak1
root@master01:~$ cp /etc/kubernetes/manifests/kube-apiserver.yaml bak1/
root@master01:~$ cp /etc/kubernetes/manifests/etcd.yaml bak1/
root@master01:~$ cp /var/lib/kubelet/config.yaml bak1/
root@master01:~$ vim /etc/kubernetes/manifests/kube-apiserver.yaml
 - --authorization-mode=Node,RBAC
#删除 insecure-bind-address。实际考试中,有可能本来就没写这行。
 - --insecure-bind-address=0.0.0.0

root@master01:~$ vim /var/lib/kubelet/config.yaml
# anonymous 应该为 false,webhook 应该为 true。
 anonymous: 
 enabled: false #将 true 改为 false
 webhook:
 enabled: true #修改为 true。

authorization: #修改 authorization 下的
 mode: Webhook #改为 Webhook

root@master01:~$ vim /etc/kubernetes/manifests/etcd.yaml
 - --client-cert-auth=true #修改为 true

root@master01:~$ systemctl daemon-reload
root@master01:~$ systemctl restart kubelet
root@master01:~$ kubectl get pod -A # 确保所有的 pod 都是 Running
exit,exit

2、Pod 指定 ServiceAccount

Context

您组织的安全策略包括:

ServiceAccount 不得自动挂载 API 凭据

ServiceAccount 名称必须以“-sa”结尾

清单文件 /cks/sa/pod1.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。

请完成一下项目:

Task

在现有 namespace qa 中创建一个名为 backend-sa 的新 ServiceAccount,确保此 ServiceAccount 不自动挂载 API 凭据。

使用 /cks/sa/pod1.yaml 中的清单文件来创建一个 Pod。

最后,清理 namespace qa 中任何未使用的 ServiceAccount。

1 创建 ServiceAccount
## 搜sa 全称configure-service-account
candidate@node01:~$ vim qa-ns.yaml
apiVersion: v1
kind: ServiceAccount
metadata:
 name: backend-sa #修改 name
 namespace: qa #注意添加 namespace
automountServiceAccountToken: false #修改为 false,表示不自动挂载 secret
candidate@node01:~$ kubectl apply -f qa-ns.yaml
candidate@node01:~$ kubectl get sa -n qa
NAME         SECRETS   AGE
backend-sa   0         58s
2 创建 Pod 使用该 ServiceAccount
candidate@node01:~$ vi /cks/sa/pod1.yaml
……
metadata:
 name: backend
 namespace: qa #注意命名空间是否对
spec:
 serviceAccountName: backend-sa # 没有则添加一行,有则修改这一行
 containers:
……
candidate@node01:~$ kubectl apply -f /cks/sa/pod1.yaml
candidate@node01:~$ kubectl get pod -n qa
NAME      READY   STATUS    RESTARTS      AGE
backend   1/1     Running   0             8s
3 删除没有使用的 ServiceAccount
# 查看所有 sa,下图可以看到一共有 3 个 sa。
candidate@node01:~$ kubectl get sa -n qa
# 查看已经在用的 sa,可以看到 default 和 backend-sa 都已经使用了。
candidate@node01:~$ kubectl get pod -n qa -o yaml | grep -i serviceAccountName
# 删除不用的 sa
candidate@node01:~$ kubectl delete sa test01 -n qa

3、默认网络策略

Context

一个默认拒绝(default-deny)的 NetworkPolicy 可避免在未定义任何其他 NetworkPolicy 的 namespace 中意外公开 Pod。

Task

为所有类型为 Ingress+Egress 的流量在 namespace testing 中创建一个名为 denypolicy 的新默认拒绝 NetworkPolicy。 此新的 NetworkPolicy 必须拒绝 namespace testing 中的所有的 Ingress + Egress 流量。 将新创建的默认拒绝 NetworkPolicy 应用与在 namespace testing 中运行的所有 Pod。

你可以在 /cks/net/p1.yaml 找到一个模板清单文件。

## 搜networkpolicy
candidate@node01:~$ vi /cks/net/p1.yaml
apiVersion: networking.k8s.io/v1
kind: NetworkPolicy
metadata:
 name: denypolicy #修改 name
 namespace: testing #注意添加 namespace
spec:
 podSelector: {}
 policyTypes:
 - Ingress
 - Egress #根据题目要求保留
candidate@node01:~$ kubectl apply -f /cks/net/p1.yaml
candidate@node01:~$ kubectl describe networkpolicy denypolicy -n testing

4、RBAC - RoleBinding

Context

绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限。完成以下项目以减少权限集。

Task

一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。

编辑绑定到 Pod 的 ServiceAccount service-account-web 的现有 Role,仅允许只对 services 类型的资源执行 get 操作。 在 namespace db 中创建一个名为 role-2 ,并仅允许只对 namespaces 类型的资源执行 delete 操作的新 Role。 创建一个名为 role-2-binding 的新 RoleBinding,将新创建的 Role 绑定到 Pod 的 ServiceAccount。

注意:请勿删除现有的 RoleBinding。

## 搜RBAC
candidate@node01:~$ kubectl describe rolebindings -n db
candidate@node01:~$ kubectl edit role role-1 -n db
……
rules: #模拟环境里要删除掉 null,然后添加以下内容。考试时,要根据实际情况修改。
- apiGroups: [""] 
 resources: ["services"] 
#对 services 资源 get 操作权限。还可能会考对 endpoints 资源 list 的操作权限,或对 namespace 的 update 权限。
 verbs: ["get"] 
#这里也是要根据题目实际的要求写,比如题目要求 watch 权限,则这里就将 get 改成 watch。
candidate@node01:~$ kubectl create role -h
candidate@node01:~$ kubectl create role role-2 --verb=delete --resource=namespaces -n db
## 记住 --verb 是权限,可能考 delete 或者 update 等 --resource 是对象,可能考 namespaces 或者 persistentvolumeclaims 等。
candidate@node01:~$ kubectl create rolebinding -h
candidate@node01:~$ kubectl create rolebinding role-2-binding --role=role-2 --serviceaccount=db:service-account-web -n db
candidate@node01:~$ kubectl describe rolebindings -n db
candidate@node01:~$ kubectl describe role -n db

5、日志审计 log audit

Task

在 cluster 中启用审计日志。为此,请启用日志后端,并确保:

  • 日志存储在 /var/log/kubernetes/audit-logs.txt
  • 日志文件能保留 10
  • 最多保留 2 个旧审计日志文件

/etc/kubernetes/logpolicy/sample-policy.yaml 提供了基本策略。它仅指定不记录的内容。

注意:基本策略位于 cluster 的 master 节点上。

编辑和扩展基本策略以记录:

  • RequestResponse 级别的 persistentvolumes 更改
  • namespace front-appsconfigmaps 更改的请求体
  • Metadata 级别的所有 namespace 中的 ConfigMap 和 Secret 的更改

此外,添加一个全方位的规则以在 Metadata 级别记录所有其他请求。

注意:不要忘记应用修改后的策略。

模拟环境里,初始化这道题的脚本为 log-audit.sh

配置审计策略
candidate@node01:~$ ssh master01
candidate@master01:~$ sudo -i
root@master01:~$ sh log-audit.sh
root@master01:~$ cp /etc/kubernetes/logpolicy/sample-policy.yaml bak1/
root@master01:~$ vim /etc/kubernetes/logpolicy/sample-policy.yaml
# 搜audit
rules:
 # namespaces changes at RequestResponse level
 - level: RequestResponse
 resources:
 - group: ""
 resources: ["persistentvolumes"] #根据题目要求修改,比如题目要求的是 namespaces。
 #the request body of persistentvolumes/pods changes in the namespace front-apps
 - level: Request
 resources:
 - group: ""
 resources: ["configmaps"] #根据题目要求修改,比如题目要求的是 persistentvolumes 或者 pods。
 namespaces: ["front-apps"]
 - level: Metadata
 resources:
 - group: ""
 resources: ["secrets", "configmaps"]
 # Also, add a catch-all rule to log all other requests at the Metadata level.
 - level: Metadata
 omitStages:
 - "RequestReceived"
配置 master 节点的 kube-apiserver.yaml
root@master01:~$ cp /etc/kubernetes/manifests/kube-apiserver.yaml /bak1
root@master01:~$ vi /etc/kubernetes/manifests/kube-apiserver.yaml
#定义审计策略 yaml 文件位置,通过 hostpath 挂载
 - --audit-policy-file=/etc/kubernetes/logpolicy/sample-policy.yaml
#定义审计日志位置,通过 hostpath 挂载
 - --audit-log-path=/var/log/kubernetes/audit-logs.txt 
#定义保留旧审计日志文件的最大天数为 10 天
 - --audit-log-maxage=10
#定义要保留的审计日志文件的最大数量为 2 个
 - --audit-log-maxbackup=2
root@master01:~$ systemctl daemon-reload
root@master01:~$ systemctl restart kubelet
root@master01:~$ kubectl get pod -A
root@master01:~$ tail /var/log/kubernetes/audit-logs.txt
exit,exit

6、创建 Secret

Task

在 namespace istio-system 中获取名为 db1-test 的现有 secret 的内容

username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt 的文件中。

注意:你必须创建以上两个文件,他们还不存在。

注意:不要在以下步骤中使用/修改先前创建的文件,如果需要,可以创建新的临时文件。

istio-system namespace 中创建一个名为 db2-test 的新 secret,内容如下:

username : production-instance

password : KvLftKgs4aVH

最后,创建一个新的 Pod,它可以通过卷访问 secret db2-test

Pod 名称 secret-pod

Namespace istio-system

容器名 dev-container

镜像 nginx

卷名 secret-volume

挂载路径 /etc/secret

1 将 db1-test 的 username 和 password,通过 base64 解码保存到题目指定文件:
candidate@node01:~$ kubectl get secrets db1-test -n istio-system -o yaml
candidate@node01:~$ echo 'ZGIx'|base64 -d > /cks/sec/user.txt
candidate@node01:~$ echo 'aGVsbG8='|base64 -d > /cks/sec/pass.txt
candidate@node01:~$ cat /cks/sec/user.txt
candidate@node01:~$ cat /cks/sec/pass.txt
2 创建名为 db2-test 的 secret 使用题目要求的用户名和密码作为键值。注意要加命名空间。
candidate@node01:~$ kubectl create secret -h
candidate@node01:~$ kubectl create secret generic -h
candidate@node01:~$ kubectl create secret generic db2-test -n istio-system --from-literal=username=production-instance --from-literal=password=KvLftKgs4aVH
candidate@node01:~$ kubectl get secret -n istio-system
3 创建 Pod 使用该 secret
# 搜secret
candidate@node01:~$ vim k8s-secret.yaml
apiVersion: v1
kind: Pod
metadata:
 name: secret-pod #pod 名字
 namespace: istio-system #命名空间
spec:
 containers:
 - name: dev-container #容器名字
 image: nginx #镜像名字
 imagePullPolicy: IfNotPresent
 volumeMounts: #挂载路径
 - name: secret-volume #卷名
 mountPath: /etc/secret
 volumes:
 - name: secret-volume #卷名
 secret:
 secretName: db2-test #名为 db2-test 的 secret
candidate@node01:~$ kubectl apply -f k8s-secret.yaml
candidate@node01:~$ kubectl get pod -n istio-system

7、Dockerfile 检测

Task

分析和编辑给定的 Dockerfile /cks/docker/Dockerfile(基于 ubuntu:16.04 镜像),

并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。

分析和编辑给定的清单文件 /cks/docker/deployment.yaml

并修复在文件中拥有突出的安全/最佳实践问题的两个字段。

注意:请勿添加或删除配置设置;只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。

注意:如果您需要非特权用户来执行任何项目,请使用用户 ID 65535 的用户 nobody

只修改即可,不需要创建。

1 修改 Dockerfile
candidate@node01:~$ vi /cks/docker/Dockerfile
1、修改基础镜像为题目要求的 ubuntu:16.04
FROM ubuntu:16.04
2、仅将 CMD 上面的 USER root 修改为 USER nobody,不需要改其他的 USER root。
USER nobody
2 修改 deployment.yaml
candidate@node01:~$ vi /cks/docker/deployment.yaml
1、需要将原先的 run: couchdb 修改为 app: couchdb
 app: couchdb
2、确保 'privileged': 为 False ,确保'readonlyRootFilesystem': 为 True,确保'runAsUser': 为 65535
securityContext:
 {'capabilities': {'add': ['NET_BIND_SERVICE'], 'drop': ['all']}, 'privileged': False, 'readOnlyRootFilesystem': True, 'runAsUser': 65535}

8、沙箱运行容器 gVisor

Context

该 cluster 使用 containerd 作为 CRI 运行时。containerd 的默认运行时处理程序是 runc

containerd 已准备好支持额外的运行时处理程序 runsc (gVisor)。

Task

使用名为 runsc 的现有运行时处理程序,创建一个名为 untrusted 的 RuntimeClass。

更新 namespace server 中的所有 Pod 以在 gVisor 上运行。

您可以在 /cks/gVisor/rc.yaml 中找到一个模版清单。

1 创建 RuntimeClass
# 搜 runtimeclass
candidate@node01:~$ vi /cks/gVisor/rc.yaml
apiVersion: node.k8s.io/v1
kind: RuntimeClass
metadata:
 name: untrusted # 用来引用 RuntimeClass 的名字
handler: runsc # 对应的 CRI 配置的名称
candidate@node01:~$ kubectl create -f /cks/gVisor/rc.yaml
candidate@node01:~$ kubectl get RuntimeClass
2 将命名空间为 server 下的 Pod 引用 RuntimeClass
candidate@node01:~$ kubectl -n server get deployment
candidate@node01:~$ kubectl -n server edit deployments busybox-run
candidate@node01:~$ kubectl -n server edit deployments nginx-host
candidate@node01:~$ kubectl -n server edit deployments run-test
spec: #找到这个 spec,注意在 deployment 里是有两个单独行的 spec 的,要找第二个,也就是下面有 containers 这个字段的 spec。
 runtimeClassName: untrusted #添加这一行,注意空格对齐
 containers:
candidate@node01:~$ kubectl -n server get pod

9、网络策略 NetworkPolicy

Task

创建一个名为 pod-restriction 的 NetworkPolicy 来限制对在 namespace dev-team 中运行的 Pod products-service 的访问。

只允许以下 Pod 连接到 Pod products-service

  • namespace qaqa 中的 Pod
  • 位于任何 namespace,带有标签 environment: testing 的 Pod

注意:确保应用 NetworkPolicy。

你可以在/cks/net/po.yaml 找到一个模板清单文件。

1 检查 namespace 标签
# 查看 qaqa 命名空间标签(name: qaqa)
candidate@node01:~$ kubectl get ns --show-labels
# 查看 pod 标签(environment: testing)
candidate@node01:~$ kubectl get pod -n dev-team --show-labels
# 如果 Pod 或者 Namespace 没有标签,则需要打上标签。
candidate@node01:~$ kubectl label ns qaqa name=qaqa
candidate@node01:~$ kubectl label pod products-service environment=testing -n dev-team
2 创建 NetworkPolicy
candidate@node01:~$ vi /cks/net/po.yaml
# 查networkpolicy,根据官网,修改为如下内容:
……
metadata:
  name: pod-restriction #修改
  namespace: dev-team #修改
spec:
  podSelector:
    matchLabels:
      environment: testing
  policyTypes:
    - Ingress #注意,这里只写 - Ingress,不要将 - Egress 也复制进来!
  ingress:
    - from: #第一个 from
        - namespaceSelector:
            matchLabels:
              name: qaqa #命名空间有 name: qaqa 标签的
    - from: #第二个 from
        - namespaceSelector: {} #修改为这样,所有命名空间
          podSelector:  #注意,这个 podSelector 前面的“-” 要删除。
            matchLabels:
              environment: testing #有 environment: testing 标签的 Pod,这个地方是根据题目要求“Pods with label environment: testing , in any namespace”,这句话里的 pod 标签写的。不要和上面 spec 里的混淆。
#创建
candidate@node01:~$ kubectl apply -f /cks/net/po.yaml
#检查
candidate@node01:~$ kubectl describe networkpolicy -n dev-team

10、Trivy 扫描镜像安全漏洞

Task

使用 Trivy 开源容器扫描器检测 namespace kamino 中 Pod 使用的具有严重漏洞的镜像。

查找具有 HighCritical 严重性漏洞的镜像,并删除使用这些镜像的 Pod。

注意:Trivy 仅安装在 cluster 的 master 节点上,

在工作节点上不可使用。

你必须切换到 cluster 的 master 节点才能使用 Trivy。

1 切换到 Master 的 candidate 下

candidate@node01:~$ ssh master01

2 获取命名空间 kamino 下的所有 pod 和其 image 的对应关系

kubectl get pods --namespace kamino --output=custom-columns="NAME:.metadata.name,IMAGE:.spec.containers[*].image"

3 检查镜像是否有高危和严重的漏洞
candidate@master01:~$ trivy image -h
for i in {amazonlinux:1,amazonlinux:2,nginx:1.19,vicuu/nginx:host}; do trivy image -s "HIGH,CRITICAL" $i >> 10.txt;done
4 删除有问题的 pod

candidate@master01:~$ kubectl -n kamino delete pod XXXX --force

exit

11、AppArmor

Context

APPArmor 已在 cluster 的工作节点 node02 上被启用。一个 APPArmor 配置文件已存在,但尚未被实施。

Task

在 cluster 的工作节点 node02 上,实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。 编辑位于 /cks/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。

最后,应用清单文件并创建其中指定的 Pod 。

请注意,考试时,考题里已表明 APPArmor 在工作节点上,所以你需要 ssh 到开头写的工作节点上。

在模拟环境,你需要 ssh 到 node02 这个工作节点。

1 切换到 node02 的 root 下
candidate@node01:~$ ssh node02
candidate@node02:~$ sudo -i
2 切换到 apparmor 的目录
root@node02:~$ cd /etc/apparmor.d/
root@node02:~$ cat nginx_apparmor
3 执行 apparmor 策略模块
root@node02:~$ apparmor_status #查不到,没启动
root@node02:~$ apparmor_parser /etc/apparmor.d/nginx_apparmor #启用
root@node02:~$ apparmor_status# 再次检查有结果了
4 修改 pod 文件

注意!注意!考试时,这个文件是在默认登录的终端那个初始节点上的,而不是在这个 work 节点的。

exit exit

搜apparmor
candidate@node01:~$ vi /cks/KSSH00401/nginx-deploy.yaml
name: podx
annotations:
 container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3
candidate@node01:~$ kubectl apply -f /cks/KSSH00401/nginx-deploy.yaml
candidate@node01:~$ kubectl get pod

12、Sysdig & falco

Task:

使用运行时检测工具来检测 Pod redis123 单个容器中频发生成和执行的异常进程。

有两种工具可供使用:

  • sysdig
  • falco

注: 这些工具只预装在 cluster 的工作节点 node02 上,不在 master 节点。

使用工具至少分析 30 秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/KSR00101/incidents/summary 文件中,

其中包含检测的事件, 格式如下: timestamp,uid/username,processName

保持工具的原始时间戳格式不变。

注: 确保事件文件存储在集群的工作节点上。

请注意,考试时,考题里已表明 sysdig 和 falco 在工作节点上,所以你需要 ssh 到开头写的工作节点上。但在模拟环境,你需要 ssh 到 node02 这个工作节点。

1、切换到 node02 的 root 下
candidate@node01:~$ ssh node02
candidate@node02:~$ sudo -i
2、确认题目里所要求 Pod 的唯一标识,比如 ContainerID。

root@node02:~$ crictl ps | grep redis123

3、编辑 falco 规则 手动输入以下内容,强行背过
root@node02:~$ vim /etc/falco/falco_rules.local.yaml
- rule: rule1
 desc: rule1
 condition: container.name = "redis123"
 output: "%evt.time,%user.uid,%proc.name"
 priority: WARNING
root@node02:~$ sudo falco -M 30 -r /etc/falco/falco_rules.local.yaml >> /opt/KSR00101/incidents/summary
root@node02:~$ vim /etc/falco/falco_rules.local.yaml
 output: "%evt.time,%user.name,%proc.name"
root@node02:~$ sudo falco -M 30 -r /etc/falco/falco_rules.local.yaml >> /opt/KSR00101/incidents/summary
4、查看保存的文件

root@node02:~$ cat /opt/KSR00101/incidents/summary

exit exit

13、Container 安全上下文

Context

Container Security Context 应在特定 namespace 中修改 Deployment。

Task

按照如下要求修改 sec-ns 命名空间里的 Deployment secdep

一、用 ID 为 30000 的用户启动容器(设置用户 ID 为: 30000)

二、不允许进程获得超出其父进程的特权(禁止 allowPrivilegeEscalation)

三、以只读方式加载容器的根文件系统(对根文件的只读权限)

搜context 安全上下文
candidate@node01:~$ kubectl -n sec-ns edit deployment secdep
name: sec-ctx-demo-1 / 2
securityContext: #新增或修改 containers 里面第一个 image 的此字段。
  allowPrivilegeEscalation: false
  readOnlyRootFilesystem: true
 
securityContext: #修改模拟环境里的这一行,注意要删除{}。如果考试时没有搜到,则新增这一行。
  runAsUser: 30000
candidate@node01:~$ kubectl -n sec-ns get all

14、TLS 安全配置

Task

通过 TLS 加强 kube-apiserver 安全配置,要求

1、kube-apiserver 除了 TLS 1.3 及以上的版本可以使用,其他版本都不允许使用。

2、密码套件(Cipher suite)为 TLS_AES_128_GCM_SHA256

通过 TLS 加强 ETCD 安全配置,要求 1、密码套件(Cipher suite)为 TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256

1 切换到 Master 的 root 下
candidate@node01:~$ ssh master01
candidate@master01:~$ sudo -i
candidate@master01:~$ cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp
2 修改 kube-apiserver
#搜kube-api server
candidate@master01:~$ vim /etc/kubernetes/manifests/kube-apiserver.yaml
 - --tls-cipher-suites=TLS_AES_128_GCM_SHA256
 - --tls-min-version=VersionTLS13 #如果题目要求 TLS 1.2,则就写 VersionTLS12
3 等待 apiserver 自动重启,且恢复正常。

candidate@master01:~$ kubectl -n kube-system get pod

4 修改 etcd
candidate@master01:~$ cp /etc/kubernetes/manifests/etcd.yaml /tmp
candidate@master01:~$ vim /etc/kubernetes/manifests/etcd.yaml
 - --cipher-suites=TLS_ECDHE_RSA_WITH_AES_128_GCM_SHA256
5 等待 etcd 自动重启,且恢复正常。
root@master01:~$ systemctl daemon-reload
root@master01:~$ systemctl restart kubelet.service
root@master01:~$ kubectl -n kube-system get pod

exit exit

15、启用 API server 认证

Context

kubeadm 创建的 cluster 的 Kubernetes API 服务器,出于测试目的,

临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限.

Task

重新配置 cluster 的 Kubernetes APl 服务器,以确保只允许经过身份验证和授权的 REST 请求。

使用授权模式 Node,RBAC 和准入控制器 NodeRestriction

删除用户 system:anonymous 的 ClusterRoleBinding 来进行清理。

注意:所有 kubectl 配置环境/文件也被配置使用未经身份验证和未经授权的访问。

你不必更改它,但请注意,一旦完成 cluster 的安全加固, kubectl 的配置将无法工作。

您可以使用位于 cluster 的 master 节点上,cluster 原本的 kubectl 配置文件

/etc/kubernetes/admin.conf ,以确保经过身份验证的授权的请求仍然被允许。

模拟环境里,初始化这道题的脚本为 api.sh

1、切换集群
candidate@node01:~$ ssh master01
candidate@master01:~$ sudo -i
root@master01:~$ sh api.sh
2 确保只有认证并且授权过的 REST 请求才被允许
root@master01:~$ mkdir bak15
root@master01:~$ cd bak15
root@master01:~$ cp /etc/kubernetes/manifests/kube-apiserver.yaml .
root@master01:~$ vi /etc/kubernetes/manifests/kube-apiserver.yaml
修改为
 - --authorization-mode=Node,RBAC 
 - --enable-admission-plugins=NodeRestriction 
 - --anonymous-auth=false
3 等待 apiserver 自动重启,且恢复正常。
root@master01:~$ systemctl daemon-reload
root@master01:~$ systemctl restart kubelet.service
root@master01:~$ kubectl get pod -A
4 删除题目要求的角色绑定
# 查
root@master01:~$ kubectl get clusterrolebinding system:anonymous
# 删
root@master01:~$ kubectl delete clusterrolebinding system:anonymous
# 再检查
root@master01:~$ kubectl get clusterrolebinding system:anonymous

exit exit

16、ImagePolicyWebhook 容器镜像扫描

Context

cluster 上设置了容器镜像扫描器,但尚未完全集成到 cluster 的配置中。

完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。

Task

注意:你必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。

给定一个目录 /etc/kubernetes/epconfig 中不完整的配置,

以及具有 HTTPS 端点 https://image-bouncer-webhook.default.svc:1323/image_policy 的功能性容器镜像扫描器:

  1. 启用必要的插件来创建镜像策略
  2. 校验控制配置并将其更改为隐式拒绝(implicit deny)
  3. 编辑配置以正确指向提供的 HTTPS 端点

最后,通过尝试部署易受攻击的资源 /cks/img/web1.yaml 来测试配置是否有效。

模拟环境里,初始化这道题的脚本为 imagePolicy.sh文章来源地址https://www.toymoban.com/news/detail-849800.html

1、切换到 Master 的 root 下
candidate@node01:~$ ssh master01
candidate@master01:~$ sudo -i
root@master01:~$ sh imagePolicy.sh
2、编辑 admission_configuration.json 修改 defaultAllow 为 false
root@master01:~$ vim /etc/kubernetes/epconfig/admission_configuration.json
 "defaultAllow": false #将 true 改为 false
3、编辑kubeconfig.yml,添加 webhook server 地址:
root@master01:~$ vi /etc/kubernetes/epconfig/kubeconfig.yml
- cluster: #下面添加
server: https://image-bouncer-webhook.default.svc:1323/image_policy #添加 webhook server 地址
4、编辑 kube-apiserver.yaml,从官网中引用 ImagePolicyWebhook 的配置信息
root@master01:~$ cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp
root@master01:~$ vi /etc/kubernetes/manifests/kube-apiserver.yaml
#搜imagepolicywebhook
 - --enable-admission-plugins=NodeRestriction,ImagePolicyWebhook
 - --admission-control-config-file=/etc/kubernetes/epconfig/admission_configuration.json
5、等待 apiserver 自动重启,且恢复正常。
root@master01:~$ systemctl daemon-reload
root@master01:~$ systemctl restart kubelet.service
root@master01:~$ kubectl -n kube-system get pod
root@master01:~$ kubectl apply -f /cks/img/web1.yaml
不允许创建

到了这里,关于K8S认证安全工程师(CKS)考试(最新版,实测可靠)的文章就介绍完了。如果您还想了解更多内容,请在右上角搜索TOY模板网以前的文章或继续浏览下面的相关文章,希望大家以后多多支持TOY模板网!

本文来自互联网用户投稿,该文观点仅代表作者本人,不代表本站立场。本站仅提供信息存储空间服务,不拥有所有权,不承担相关法律责任。如若转载,请注明出处: 如若内容造成侵权/违法违规/事实不符,请点击违法举报进行投诉反馈,一经查实,立即删除!

领支付宝红包 赞助服务器费用

相关文章

  • CKS之k8s安全基准工具:kube-bench

            CIS Kubernetes Benchmark 由互联网安全中心(CIS)社区维护,旨在提供 Kubernetes 的安全配置基线,旨在为互联网环境提供免费的安全防御方案。CIS是一个非营利性组织,其制定的安全基准覆盖了多个领域,包括操作系统、中间件、应用程序等多个层面。         CIS官网:

    2024年04月10日
    浏览(45)
  • 阿里云云计算工程师ACA认证(Alibaba Cloud Certified Associate - Cloud Computing)考试大纲-V3.0

    阿里云云计算工程师ACA认证(Alibaba Cloud Certified Associate - Cloud Computing)介绍: 阿里云云计算工程师ACA认证(Alibaba Cloud Certified Associate - Cloud Computing)考试是面向云计算行业工作人员的初级认证,主要考核考生对云计算领域知识的整体掌控情况。 通过该技术认证可以有效证明

    2024年02月03日
    浏览(73)
  • 华为认证网络工程师学习笔记——以太网交换安全

    常见的以太网交换安全技术,包括端口隔离、端口安全、MAC地址漂移检测、风暴控制、端口限速、MAC地址表安全、DHCP Snooping及IP Source Guard等。 目录 1、端口隔离 2、MAC地址表安全 3、端口安全 4、MAC地址漂移防止与检测 5、MACsec 6、交换机流量控制——风暴控制 7、DHCP Snooping

    2024年04月27日
    浏览(48)
  • 【第6章】认证技术原理与应用(信息安全工程师)--软考笔记

    第6章 认证技术原理与应用 6.1.1 认证概念 认证是一个实体向另外一个实体证明其所声称的身份的过程。在认证过程中,需要被证实的实体是声称者,负责检查确认声称者的实体是验证者。 认证一般由标识 (Identification) 和鉴别 (Authentication) 两部分组成。 标识是用来代表实体对

    2024年02月15日
    浏览(38)
  • 【DevOps基础篇之k8s】如何通过Kubernetes CKA认证考试

    推荐超级课程: Docker快速入门到精通 Kubernetes入门到大师通关课 这些是我在准备CK

    2024年03月15日
    浏览(51)
  • 华为认证网络工程师怎么认证?

    分为以下几点 1、确定认证方向 三个等级 :HCIA(低)、HCIP(中)、HCIE(高) 方向 :华为认证分为了很多个方向,其中比较常见的有大数据、企业通信、云计算、云数据中心、存储、路由与交换、安全、传送、人工智能、网络统一通信、云服务、数据中心基础设施、智能计

    2024年02月16日
    浏览(47)
  • 注册电气工程师职业资格考试

    考试时长 考试科目 考试内容 考试形式 题型题量 合格标准 上午8-12点 公共基础 包含数学24题 电工电子技术12题 物理12题 计算机技术10题 理论力学12题 信号与信息技术6题 材料力学12题 法律法规6题 流体力学8题 工程经济基础8题 化学10题 闭卷 单选120题 132 (满分240) 合并计分 下

    2024年02月07日
    浏览(58)
  • k8s学习-CKS真题-Runtime设置gVisor

    安装gVisor 使用以下命令下载gvisor安装包: 将下载的文件重命名为runsc,并放在/usr/local/bin目录中: 为runsc文件赋予可执行权限: 运行以下命令以安装gvisor到docker: 安装到containerd 由于我的集群版本已经是v1.25了,改为了containerd,所以需要修改一下配置 添加以下内容到配置中

    2023年04月14日
    浏览(37)
  • ACP云计算工程师考试知识点

    ECS 安全组 伸缩组 SLB VPC OSS RDS CDN DNS DTS 云安全 云监控 一、ECS实例 ECS组件:在ECS中,是由CPU、内存、磁盘(ECS中没有硬盘概念)、网络配置、操作系统构成 ECS使用限制:①不支持安装虚拟化软件和二次虚拟化;②不支持声卡应用;③不支持直接加载外接硬件设备 ECS状态:分

    2024年02月13日
    浏览(48)
  • k8s - 安全认证(RBAC)

    api server 是集群访问控制的统一入口 k8s认证过程: 认证 - 授权 - 准入控制 ( adminationcontroller ) 1 认证()是对客户端的认证,简单说就是账户密码 2 授权()是资源的授权,容器、网络、存储资源的权限 3 准入机制 准入控制器位于api server ,在对象被持久化之前,准入控制器

    2024年02月08日
    浏览(40)

觉得文章有用就打赏一下文章作者

支付宝扫一扫打赏

博客赞助

微信扫一扫打赏

请作者喝杯咖啡吧~博客赞助

支付宝扫一扫领取红包,优惠每天领

二维码1

领取红包

二维码2

领红包