摘要:
Context Container Security Context 应在特定 namespace 中修改 Deployment。 Task 按照如下要求修改 sec-ns 命名空间里的 Deployment secdep 用ID为30000 的用户启动容器(设置用户ID为:30000) 不允许进程 阅读全文
摘要:
Task 通过 TLS 加强 kube-apiserver 安全配置,要求 kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。 密码套件(Cipher suite)为TLS_AES_128_GCMSHA256 通过 TLS 加强 ETCD 安全 阅读全文
摘要:
Task 创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。 创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。 在现有的namesp 阅读全文
摘要:
Context cluster 上设置了容器镜像扫描器,但尚未完全集成到cluster 的配置中。 完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。 Task 注意:你必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。 给定一个目录 / 阅读全文
摘要:
Context 由 kubeadm 创建的cluster 的kubernetes API 服务器,出于测试目的, 临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限。 Task 重新配置cluster的Kubernetes APl 服务器,以确保只允许经过 阅读全文
摘要:
Task 使用运行时检测工具来检测 Pod tomcat 单个容器中频发生成和执行的异常进程 有两种工具可供使用: sysdig falco 注: 这些工具只预装在cluster的工作节点,不在 master 节点。 使用工具至少分析30秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/K 阅读全文
摘要:
Task 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像的Pod。 注意:Trivy 仅安装在cluster 的master上, 在工作节点上不可使用。 你必须切换到clu 阅读全文
摘要:
Context 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 Task 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的 阅读全文
摘要:
Task 分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像), 并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。 分析和编辑给定的清单文件 /cks/docker/deployment.yaml , 并修复在文件中拥有突出 阅读全文
摘要:
# 基础环境 系统Ubuntu 22.04.2 | 主机名称 | IP | | | | | k8s-master | 192.168.198.141 | | k8s-node01 | 192.168.198.142 | | k8s-node02 | 192.168.198.143 | 1. 设置k8 阅读全文
