伍佰目录 短网址
  当前位置:海洋目录网 » 站长资讯 » 站长资讯 » 文章详细 订阅RssFeed

Cluster Setup - CIS Benchmarks(集群设置-CIS基线)

来源:本站原创 浏览:229次 时间:2021-06-15

前言

这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。

1 . 什么是 CIS

CIS----Center fo internet Security 互联网安全中心

2. 关于csi
  1. 安全配置目标系统的最佳实践
  2. 涵盖超过14个技术组织
  3. 通过独特的基于共识的流程开发而成,该流程由世界各地的网络安全专业人员和主题专家组成

3. 关于 CIS Benchmarks

CIS Benchmarks -Default k8s security rules 默认的kubernets的安全准则
无论是原生还是通过谷歌或者亚马逊云的定制化

3.1 CSI Benchmarks

详见https://learn.cisecurity.org/benchmarks

最新版本CIS_Kuberntets_Benchmark_v1.6.0.pdf
关于 1.6.0pdf版本对应kubernetes版本为1.16-1.18,版本还是有滞后性的


关于控制平面的文档位于pdf 16页的 规则1.1.1
关于work节点的文档位于208页的规则4.2.10

3.2 kube-bench3.2.1 master节点运行kube-bench


https://github.com/aquasecurity/kube-bench

 docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest master --version 1.19



对象文档修改etcd权限

stat -c %a /var/lib/etcdchmod 700 /var/lib/etcduseradd ��Ҫ,��Ҫetcdchown etcd:etcd /var/lib/etcd

3.2.2 node(work)节点运行kube-bench
docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest node --version 1.19


举个例子选择了4.2.6,pdf中找到4.2.6对应位置。

 vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf


OK 测试完成,其实上面master节点运行kube-bench还有很多FAIL.操作方法都与上面类似。找到对应role。pdf中查找解决方案。执行解决方案.都是这样的流程

  推荐站点

  • At-lib分类目录At-lib分类目录

    At-lib网站分类目录汇集全国所有高质量网站,是中国权威的中文网站分类目录,给站长提供免费网址目录提交收录和推荐最新最全的优秀网站大全是名站导航之家

    www.at-lib.cn
  • 中国链接目录中国链接目录

    中国链接目录简称链接目录,是收录优秀网站和淘宝网店的网站分类目录,为您提供优质的网址导航服务,也是网店进行收录推广,站长免费推广网站、加快百度收录、增加友情链接和网站外链的平台。

    www.cnlink.org
  • 35目录网35目录网

    35目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向35目录推荐、提交优秀网站。

    www.35mulu.com
  • 就要爱网站目录就要爱网站目录

    就要爱网站目录,按主题和类别列出网站。所有提交的网站都经过人工审查,确保质量和无垃圾邮件的结果。

    www.912219.com
  • 伍佰目录伍佰目录

    伍佰网站目录免费收录各类优秀网站,全力打造互动式网站目录,提供网站分类目录检索,关键字搜索功能。欢迎您向伍佰目录推荐、提交优秀网站。

    www.wbwb.net