前言
这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。
1 . 什么是 CIS
CIS----Center fo internet Security 互联网安全中心
2. 关于csi
- 安全配置目标系统的最佳实践
- 涵盖超过14个技术组织
- 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成
3. 关于 CIS Benchmarks
CIS Benchmarks -Default k8s security rules 默认的kubernets的安全准则
无论是原生还是通过谷歌或者亚马逊云的定制化
3.1 CSI Benchmarks
详见https://learn.cisecurity.org/benchmarks
最新版本CIS_Kuberntets_Benchmark_v1.6.0.pdf
关于 1.6.0pdf版本对应kubernetes版本为1.16-1.18,版本还是有滞后性的
关于控制平面的文档位于pdf 16页的 规则1.1.1
关于work节点的文档位于208页的规则4.2.10
3.2 kube-bench
3.2.1 master节点运行kube-bench
https://github.com/aquasecurity/kube-bench
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest master --version 1.19
对象文档修改etcd权限
stat -c %a /var/lib/etcd chmod 700 /var/lib/etcd useradd etcd chown etcd:etcd /var/lib/etcd
3.2.2 node(work)节点运行kube-bench
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest node --version 1.19
举个例子选择了4.2.6,pdf中找到4.2.6对应位置。
vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
OK 测试完成,其实上面master节点运行kube-bench还有很多FAIL.操作方法都与上面类似。找到对应role。pdf中查找解决方案。执行解决方案.都是这样的流程