标签：Benchmarks -- Setup bench CIS etc etcd var kube

前言

这一节主要掌握使用 kube-bench cis 安全基线检查集群的安全配置,并提高集群的安全性。所有操作都是抛砖引玉。

1 . 什么是 CIS

CIS----Center fo internet Security 互联网安全中心

2. 关于csi

1. 安全配置目标系统的最佳实践
2. 涵盖超过14个技术组织
3. 通过独特的基于共识的流程开发而成，该流程由世界各地的网络安全专业人员和主题专家组成

3. 关于 CIS Benchmarks

CIS Benchmarks -Default k8s security rules 默认的kubernets的安全准则
无论是原生还是通过谷歌或者亚马逊云的定制化

3.1 CSI Benchmarks

详见https://learn.cisecurity.org/benchmarks

最新版本CIS_Kuberntets_Benchmark_v1.6.0.pdf
关于 1.6.0pdf版本对应kubernetes版本为1.16-1.18，版本还是有滞后性的

关于控制平面的文档位于pdf 16页的 规则1.1.1
关于work节点的文档位于208页的规则4.2.10

3.2 kube-bench

3.2.1 master节点运行kube-bench

https://github.com/aquasecurity/kube-bench

 docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest master --version 1.19

对象文档修改etcd权限

stat -c %a /var/lib/etcd
chmod 700 /var/lib/etcd
useradd etcd
chown etcd:etcd /var/lib/etcd

3.2.2 node（work）节点运行kube-bench

docker run --pid=host -v /etc:/etc:ro -v /var:/var:ro -t aquasec/kube-bench:latest node --version 1.19

举个例子选择了4.2.6，pdf中找到4.2.6对应位置。

 vi /etc/systemd/system/kubelet.service.d/10-kubeadm.conf

OK 测试完成，其实上面master节点运行kube-bench还有很多FAIL.操作方法都与上面类似。找到对应role。pdf中查找解决方案。执行解决方案.都是这样的流程

标签：Benchmarks,--,Setup,bench,CIS,etc,etcd,var,kube
来源： https://blog.51cto.com/u_1153710/2774395

本站声明： 1. iCode9 技术分享网（下文简称本站）提供的所有内容，仅供技术学习、探讨和分享；
2. 关于本站的所有留言、评论、转载及引用，纯属内容发起人的个人观点，与本站观点和立场无关；
3. 关于本站的所有言论和文字，纯属内容发起人的个人观点，与本站观点和立场无关；
4. 本站文章均是网友提供，不完全保证技术分享内容的完整性、准确性、时效性、风险性和版权归属；如您发现该文章侵犯了您的权益，可联系我们第一时间进行删除；
5. 本站为非盈利性的个人网站，所有内容不会用来进行牟利，也不会利用任何形式的广告来间接获益，纯粹是为了广大技术爱好者提供技术内容和技术思想的分享性交流网站。