06 2023 档案

CKS 考试题整理 (05)-Container 安全上下文
摘要:Context Container Security Context 应在特定 namespace 中修改 Deployment。 Task 按照如下要求修改 sec-ns 命名空间里的 Deployment secdep 用ID为30000 的用户启动容器(设置用户ID为:30000) 不允许进程 阅读全文
posted @ 2023-06-16 16:47 打工人,打工魂 阅读(474) 评论(0) 推荐(2) 编辑
CKS 考试题整理 (18)-TLS 安全配置
摘要:Task 通过 TLS 加强 kube-apiserver 安全配置,要求 kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。 密码套件(Cipher suite)为TLS_AES_128_GCMSHA256 通过 TLS 加强 ETCD 安全 阅读全文
posted @ 2023-06-16 16:44 打工人,打工魂 阅读(438) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (16)-Pod安全策略
摘要:Task 创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。 创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。 在现有的namesp 阅读全文
posted @ 2023-06-16 16:42 打工人,打工魂 阅读(236) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (15)-镜像扫描ImagePolicyWebhook
摘要:Context cluster 上设置了容器镜像扫描器,但尚未完全集成到cluster 的配置中。 完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。 Task 注意:你必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。 给定一个目录 / 阅读全文
posted @ 2023-06-16 16:40 打工人,打工魂 阅读(425) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (14)-启用API Server认证
摘要:Context 由 kubeadm 创建的cluster 的kubernetes API 服务器,出于测试目的, 临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限。 Task 重新配置cluster的Kubernetes APl 服务器,以确保只允许经过 阅读全文
posted @ 2023-06-16 16:35 打工人,打工魂 阅读(304) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (13)-使用 sysdig 检查容器里里的异常进程
摘要:Task 使用运行时检测工具来检测 Pod tomcat 单个容器中频发生成和执行的异常进程 有两种工具可供使用: sysdig falco 注: 这些工具只预装在cluster的工作节点,不在 master 节点。 使用工具至少分析30秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/K 阅读全文
posted @ 2023-06-16 16:30 打工人,打工魂 阅读(513) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (12)-Trivy扫描镜像安全漏洞
摘要:Task 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像的Pod。 注意:Trivy 仅安装在cluster 的master上, 在工作节点上不可使用。 你必须切换到clu 阅读全文
posted @ 2023-06-16 16:07 打工人,打工魂 阅读(384) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (11)-沙箱运行容器gVisor
摘要:Context 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 Task 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的 阅读全文
posted @ 2023-06-16 16:03 打工人,打工魂 阅读(327) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (10)-Dockerfile检测
摘要:Task 分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像), 并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。 分析和编辑给定的清单文件 /cks/docker/deployment.yaml , 并修复在文件中拥有突出 阅读全文
posted @ 2023-06-16 16:00 打工人,打工魂 阅读(456) 评论(0) 推荐(0) 编辑
Kubernetes 1.27.2集群安装
摘要:# 基础环境 系统Ubuntu 22.04.2 | 主机名称 | IP | | | | | k8s-master | 192.168.198.141 | | k8s-node01 | 192.168.198.142 | | k8s-node02 | 192.168.198.143 | 1. 设置k8 阅读全文
posted @ 2023-06-16 15:58 打工人,打工魂 阅读(387) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (09)-日志审计 log audit
摘要:Task 在cluster中启用审计日志。为此,请启用日志后端,并确保: 日志存储在 /var/log/kubernetes/audit-logs.txt 日志文件能保留 10 天 最多保留 2 个旧审计日志文件 /etc/kubernetes/logpolicy/sample-policy.yam 阅读全文
posted @ 2023-06-16 15:56 打工人,打工魂 阅读(517) 评论(0) 推荐(1) 编辑
CKS 考试题整理 (08)-Pod指定ServiceAccount
摘要:Context 您组织的安全策略包括: ServiceAccount 不得自动挂载 API 凭据 ServiceAccount 名称必须以 "-sa" 结尾 清单文件 /cks/sa/pod1.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。 请完成以下项目: T 阅读全文
posted @ 2023-06-16 15:53 打工人,打工魂 阅读(308) 评论(0) 推荐(0) 编辑
CKS 考试题整理 (07)-RBAC - RoleBinding
摘要:Context 绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限,完成以下项目以减少权限集。 Task 一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。 编辑绑定到 Pod 的 ServiceAccount service-acco 阅读全文
posted @ 2023-06-16 15:49 打工人,打工魂 阅读(260) 评论(0) 推荐(1) 编辑
CKS 考试题整理 (06)-默认网络策略
摘要:Context 一个默认拒绝(default-deny)的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。 Task 为所有类型为Ingress+Egress的流量在namespace testing中创建一个名为denypolicy的 阅读全文
posted @ 2023-06-16 15:44 打工人,打工魂 阅读(306) 评论(0) 推荐(2) 编辑
CKS 考试题整理 (04)-secret
摘要:Task 在 namespace istio-system 中获取名为 db1-test 的现有secret的内容 将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt的文件中。 注意:你必须创 阅读全文
posted @ 2023-06-16 15:02 打工人,打工魂 阅读(355) 评论(0) 推荐(1) 编辑

点击右上角即可分享
微信分享提示