k8s安全
Posted luoguo
tags:
篇首语:本文由小常识网(cha138.com)小编为大家整理,主要介绍了k8s安全相关的知识,希望对你有一定的参考价值。
一.镜像来源
二.镜像bug更新
三.node禁止ssh登录,控制用kubectl exec
四.修改默认端口6443
五.api端口访问控制(通过防火墙限制对api的访问)
六.创建资源管理界限(限制用户可以操作的范围牵涉到用户的认证授权准备控制)
参考https://blog.51cto.com/luoguoling/3187063
七.定义资源限额,比如对命名空间得限额(防止ddos干扰)
apiVersion: v1
kind: ResourceQuota
metadata:
name: compute-resources
spec:
hard:
pods: "10"
requests.cpu: "1"
requests.memory: 1Gi
limits.cpu: "2"
limits.memory: 2Gi
#kubectl create -f compute-resources.yaml -n fronted
#注意如果命名空间达到限额了,pod将不会更新成功,需要先修改限额
八.划分网络安全区域(只允许前端pod访问后端pod的网络策略,通过matchlabels来限制对pod的访问)
kind: NetworkPolicy
apiVersion: networking.k8s.io/v1
metadata:
name: access-nginx
spec:
podSelector:
matchLabels:
run: nginx
ingress:
- from:
- podSelector:
matchLabels:
access: "true"
#参考文档 https://www.cnblogs.com/tylerzhou/p/10995797.html
九.将安全环境应用到pods和容器中
当设计您的容器和pods时,确保为您的pods、容器和存储卷配置安全环境。安全环境是定义在yaml文件中的一项属性。它控制分配给pod/容器/存储卷的安全参数。一些重要的参数有:
SecurityContext > runAsNonRoot 容器应该以非root用户运行
SecurityContext > Capabilities 控制分配给容器的Linux能力
SecurityContext > readOnlyRootFilesystem 控制容器对root文件系统是否只读
PodSecurityContext > runAsNonRoot 防止root用户作为pod的一部分运行容器
demo:
apiVersion: v1
kind: Pod
metadata:
name: hello-world
spec:
containers:
# specification of the pod’s containers
# ...
securityContext:
readOnlyRootFilesystem: true
runAsNonRoot: true
十.通过elk记录日志
参考文章:https://help.aliyun.com/knowledge_detail/60782.html
以上是关于k8s安全的主要内容,如果未能解决你的问题,请参考以下文章
安全测试 web安全测试 常规安全漏洞 可能存在SQL和JS注入漏洞场景分析。为什么自己没有找到漏洞,哪么可能存在漏洞场景是?SQL注入漏洞修复 JS注入漏洞修复 漏洞存在场景分析和修复示例(代码片段