CKS 考试题整理 （02）-Apparmor

Context

Apparmor 已在 cluster 的工作节点 node02 上被启用。一个 Apparmor 配置文件已存在，但尚未被实施。

Task

在 cluster 的工作节点 node02 上，实施位于 /etc/apparmor.d/nginx_apparmor 的现有 APPArmor 配置文件。

编辑位于 /home/candidate/KSSH00401/nginx-deploy.yaml 的现有清单文件以应用 AppArmor 配置文件。
最后，应用清单文件并创建其中指定的 Pod 。

 

注意： 题目中已标明 APPArmor 在工作节点上，所有需要ssh到该节点。

参考资料

https://kubernetes.io/zh-cn/docs/tutorials/security/apparmor/

 

 

 

 

解答

首先执行切换集群操作

kubectl config use-context KSSH00401

 

1. 切换到 node02

ssh node02 && sudo -i

 

2. 检查配置文件

vim /etc/apparmor.d/nginx_apparmor

#include <tunables/global>

#nginx-profile-3 　　　　　　　　# 注释这一行否则加载配置文件会报错

profile nginx-profile-3 flags=(attach_disconnected) {

  #include <abstractions/base>

  file,

  # Deny all file writes.

  deny /** w,

}

 

3. 执行apparmor 策略模块

查看当前节点加载的 apparmor profile ，手工加载

apparmor_status|grep nginx

apparmor_parser /etc/apparmor.d/nginx_apparmor

再次检查，就有nginx-profile-3 模块

4. 修改 pod 文件

修改内容如下：

vim /home/candidate/KSSH00401/nginx-deploy.yaml

apiVersion: v1

kind: Pod

metadata:

  name: podx

  annotations: 　　　　　　 #添加这一部分

    container.apparmor.security.beta.kubernetes.io/podx: localhost/nginx-profile-3

spec:

  containers:

  - image: busybox

    imagePullPolicy: IfNotPresent

    name: podx 　　　　    #这个就是containers下的名字，为podx

    command: [ "sh", "-c", "echo 'Hello AppArmor!' && sleep 1h" ]

    resources: {}

  nodeName: node01

  dnsPolicy: ClusterFirst

  restartPolicy: Always

status: {}

 

创建

kubectl apply -f /home/candidate/KSSH00401/nginx-deploy.yaml

 

检查

如果想写入文件会报错，

kubectl exec podx -- touch /tmp/test