k8s_Node节点安全基线
k8s Node节点安全基线
访问控制
1.高危-确保–anonymous-auth参数设置为false
描述:
启用后,未被其他配置的身份验证方法拒绝的请求将被视为匿名请求。 然后,这些请求由Kubelet服务器处理。 您应该依靠身份验证来授权访问并禁止匿名请求
加固建议:
在每个节点上编辑<kubelet_config>文件,并将KUBELET_ARGS参数设置为
--anonymous-auth = false
2.高危-确保 --make-iptables-util-chains 参数设置为 true
描述:
允许 Kubelet 管理 iptables。
Kubelets 可以根据您为 pod 选择网络选项的方式自动管理对 iptables 的所需更改。 建议让 kubelets 管理对 iptables 的更改。 这确保 iptables 配置与 pods 网络配置保持同步。 使用动态 pod 网络配置更改手动配置 iptables 可能会妨碍 pod/容器与外部世界之间的通信。 您的 iptables 规则可能过于严格或过于开放。
影响:Kubelet 将管理系统上的 iptables 并保持同步。
如果您正在使用任何其他 iptables 管理解决方案,那么可能会有一些冲突(如业务冲突,确保功能完整的情况下考虑加白处理)。
加固建议:
如果使用 Kubelet 配置文件,请编辑该文件(/var/lib/kubelet/config.yaml)以设置 makeIPTablesUtilChains: true。 如果使用命令行参数,请编辑每个工作节点上的 kubelet 服务文件 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf 设置KUBELET_SYSTEM_PODS_ARGS 变量(删除 --make-iptables-util-chains 参数或设置为true)。 根据您的系统,重新启动 kubelet 服务
文件权限
3.高危-确保 kubelet 服务文件权限设置为 644 或更多限制
描述:
kubelet 服务文件控制着设置 kubelet 服务在工作节点中的行为的各种参数。 您应该限制其文件权限以维护文件的完整性。 该文件应该只能由系统管理员写入。
加固建议:
确保kubeadmin文件的权限为644
使用chmod 644 /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
命令修正文件权限
使用stat -c %a /etc/systemd/system/kubelet.service.d/10-kubeadm.conf Verify
命令可查看权限
4.高危-确保 kubelet 服务文件所有权设置为 root:root
描述:
kubelet 服务文件控制着设置 kubelet 服务在工作节点中的行为的各种参数。你应该确保他的文件所属者被正确的设置
加固建议:
执行命令
chown root:root /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
修改文件拥有者
stat -c %U:%G /etc/systemd/system/kubelet.service.d/10-kubeadm.conf
查看是否修改成功
5.高危-确保 --kubeconfig kubelet.conf 文件权限设置为 644 或更多限制
描述:
kubelet.conf 文件是节点的 kubeconfig 文件,它控制着设置工作节点行为和身份的各种参数。 您应该限制其文件权限以维护文件的完整性。 该文件应该只能由系统上的管理员写入
加固建议:
执行命令chmod 644 /etc/kubernetes/kubelet.conf
修改文件权限
通过命令stat -c %a /etc/kubernetes/kubelet.conf
可查看配置文件权限
6.高危-确保 kubelet --config 配置文件的权限设置为 644 或更多限制
描述:
kubelet 从 --config 参数指定的配置文件中读取各种参数,包括安全设置。 如果指定了此文件,则应限制其在系统上的文件权限
加固建议:
执行命令 chmod 644 /var/lib/kubelet/config.yaml
修改文件权限 stat -c %a /var/lib/kubelet/config.yaml
可以查看文件权限
7.高危-确保 kubelet --config 配置文件所有权设置为 root:root
描述:
kubelet 从 --config 参数指定的配置文件中读取各种参数,包括安全设置。如果指定了此文件,则应限制其文件权限以保持文件的完整性。该文件应归 root:root 所有。
加固建议:
执行命令 chown root:root /var/lib/kubelet/config.yaml
修改文件权限
执行命令 stat -c %U:%G /var/lib/kubelet/config.yaml
可以查看文件所属者
身份鉴别
8.高危-确保–authorization-mode参数未设置为AlwaysAllow
描述:
默认情况下,Kubelet允许所有经过身份验证的请求(甚至是匿名请求),而无需来自apiserver的明确授权检查。 您应该限制这种行为,并且只允许明确授权的请求
未经授权的请求将被拒绝。
加固建议:
编辑<kubelet_启动文件> 添加/修改为–authorization-mode = Webhook或其他值 要求–authorization-mode的值不能为AlwaysAllow
k8s_Node节点安全基线相关推荐
- k8s_node节点得pod频繁重启排查原因
一.背景 最近flink在执行任务时频繁报错,提示连接taskmanager超时,在flink任务报错5-6次后,该任务变以faled状态结束,导致我们得数据没有进行实时传输 二.问题排查 通过查看f ...
- 使用PyG进行图神经网络的节点分类、链路预测和异常检测
图神经网络(Graph Neural Networks)是一种针对图结构数据(如社交图.网络安全网络或分子表示)设计的机器学习算法.它在过去几年里发展迅速,被用于许多不同的应用程序.在这篇文章中我们将 ...
- html幽灵空白节点
幽灵空白节点就是行内块元素,行内块元素会默认是基线对齐方式,所以距离底线会有3-5px的间隙,这个间隙问题就叫幽灵空白节点. 基线基线就是在浏览器中小写英文字母的位置.比如,下图 解决方法: 1 可以 ...
- 基线监控:基于依赖关系的全链路智能监控报警
更多技术交流.求职机会.试用福利,欢迎关注字节跳动数据平台微信公众号,回复[1]进入官方交流群 字节跳动数据平台开发套件数据开发团队自研了基于依赖关系的全链路智能监控报警--基线监控,目前已在字节跳动 ...
- CSS深入理解vertical-align和line-height的基友关系
1. vertical-align 众所周知,vertical-align支持很多属性值,足足可以组成一个足球队了: 其中,有个属性值暴露了vertical-align和line-height之间的基 ...
- GTN-Graph Transformer Network 图变换网络 NeurIPS2019
来源:NeurIPS 2019 论文链接 代码链接 摘要 图神经网络(GNNs)在图表示学习中得到了广泛的应用,实现了节点分类和连接预测等任务的最佳性能.然而,大多数现有的GNNs都被设计为在固定(f ...
- HTMLCSS常见面试题
HTML和CSS常见面试题 src 和 href 的区别 src表示引用资源,表示替换当前元素,用在 img.srcipt.iframe上,src是页面内容不可或缺少的一部分. href表示超文本引用 ...
- TopoTag:A Robust and Scalable Topological Fiducial Marker System 笔记
摘要 本文主要是对这一篇论文(TopoTag:A Robust and Scalable Topological Fiducial Marker System)的学习整理.包含的内容分为两个部分,在前 ...
- [前端基础] CSS3 篇
CSS3 使用了层叠样式表技术,可以对网页布局.字体.颜色.背景灯效果做出控制.CSS3 作为 CSS 的进阶版,拆分和增加了盒子模型.列表模块.语言模块 .背景边框 .文字特效 .多栏布局等等.CS ...
最新文章
- 记一次Quartz重复调度(任务重复执行)的问题排查
- Blockchain实现详细手册
- 【图神经网络】万物皆可Graph | 当推荐系统遇上图神经网络
- OpenCV学习笔记之改变图像的对比度和亮度
- Date类+DateFormat
- 机器翻译(信息学奥赛一本通-T1401)
- ICCV2021|STMN:双记忆网络提升视频行人ReID性能
- [vscode] markdown_index----可以为你的markdown标题添加序号的插件
- 一文读懂内生性问题之两阶段最小二乘法TSLS
- 性能测试入门指南 (慎入: 6000 字长文)
- 贝尔宾团队角色理论及实践
- java识别图片中文字技术
- Springboot健康饮食小程序的设计的实现毕业设计源码280920
- 常垒·视频:股权投资的终极思维
- Python股票监控机器人,加强版!
- Double类型精度问题引起的错误
- 计算机专业郑州粮食批发市场,什么是期货呢????
- 风云编程python基础语法(8)|| 完结
- 【用Java爬取网页图片——爬虫爬取数据】
- 计算机配置的内存的容量为4g,安装内存4g2g可用的原因和处理
热门文章
- Mysql之时间条件查询浅析
- 树遍历(深度优先和广度优先)
- 航电oj-2025 查找最大元素
- 使用ceph的块存储rbd
- 网站分析实战--如何以数据驱动决策,提升网站价值(大数据时代的分析利器)...
- Python中的进程和线程(20)
- audio filter adelay 实现音量 延迟(空白音)(笔记)
- 1、物联网Thingsboard实战 ThingsBoard构建物联网平台概述
- 【读书笔记】【程序员的自我修养 -- 链接、装载与库(二)】进程虚拟地址空间、装载与动态链接、GOT、全局符号表、共享库的组织、DLL、C++与动态链接
- 【翻译】Few-Shot Object Detection with Attention-RPN and Multi-Relation Detector论文翻译