【云原生-K8s】Kubernetes安全组件CIS基准kube-beach安装及使用-CSDN博客

基础介绍

• 为了保证集群以及容器应用的安全Kubernetes 提供了多种安全机制限制容器的行为减少容器和集群的攻击面保证整个系统的安全性。
• 互联网安全中心CISCenter for Internet Security是一个非盈利组织致力为互联网提供免费的安全防御解决方案
• 官网https://www.cisecurity.org/
• k8s安全基准https://www.cisecurity.org/benchmark/kubernetes

kube-beach介绍

• Kube-bench是容器安全厂商Aquq推出的工具以CIS K8s基准作为基础来检查K8s是否安全部署。
• 主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。
• 开源地址https://github.com/aquasecurity/kube-bench
• 二进制包下载地址https://github.com/aquasecurity/kube-bench/releases
• 大家根据需求下载相应版本
  

kube-beach 下载

百度网盘下载

链接https://pan.baidu.com/s/17AGxkwTDUkiDYSSZpPu45A?pwd=vqew
提取码vqew
–来自百度网盘超级会员V7的分享

wget下载

wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.19/kube-bench_0.6.19_linux_amd64.tar.gz

kube-beach安装

• 解压

tar -zxf kube-bench_0.6.19_linux_amd64.tar.gz

• 创建默认配置路径

mkdir -p /etc/kube-bench

• 复制配置文件至默认目录

mv cfg /etc/kube-bench/cfg

• 设置为系统命令

mv kube-bench /usr/bin/

kube-beach使用

基础参数

• 使用kube-bench run进行测试该指令有以下常用参数

• –targets 指定要基础测试的目标默认配置目标包括master, controlplane, node, etcd, policies

• –version指定k8s版本如果未指定会自动检测

• –benchmark手动指定CIS基准版本不能与–version一起使用

• 查看帮助信息

kube-bench --help

示例

• 检查master组件安全配置

kube-bench run --targets=master

结果说明

• [PASS]测试通过
• [FAIL]测试未通过重点关注在测试结果会给出修复建议
• [WARN]警告可做了解
• [INFO]信息