每日复盘-kubelet 10255端口漏洞

处理kubelet 10255漏洞

kubelet默认会开放10255只读端口，例如：ip:10255/pods，用于查询解点pods信息，但这些信息中会包含环境变量，健康探针，启动钩子等等，这些很多都是敏感信息，所以不能对外暴露该只读接口。

修复方案

1 参考官网

kubelet增加启动参数：--read-only-port=0

2 每台节点安全组绕过10255端口

3 对于每台节点设置iptables拒绝10255进来的流量

最终采用修改iptables的方案，对于input走本地10255端口的流量丢弃：

iptables -I INPUT -p tcp --dport 10255 -j DROP

service iptables save