-
- 基础介绍
-
- kube-beach介绍
- [kube-beach 下载](#kube-beach 下载)
- kube-beach安装
- kube-beach使用
基础介绍
- 为了保证集群以及容器应用的安全,Kubernetes 提供了多种安全机制,限制容器的行为,减少容器和集群的攻击面,保证整个系统的安全性。
- 互联网安全中心(CIS,Center for Internet Security),是一个非盈利组织,致力为互联网提供免费的安全防御解决方案
- 官网 :https://www.cisecurity.org/
- k8s安全基准 :https://www.cisecurity.org/benchmark/kubernetes
kube-beach介绍
- Kube-bench是容器安全厂商Aquq推出的工具,以CIS K8s基准作为基础,来检查K8s是否安全部署。
- 主要查找不安全的配置参数、敏感的文件权限、不安全的帐户或公开端口等等。
- 开源地址 :https://github.com/aquasecurity/kube-bench
- 二进制包下载地址:https://github.com/aquasecurity/kube-bench/releases
- 大家根据需求下载相应版本
kube-beach 下载
百度网盘下载
链接:https://pan.baidu.com/s/17AGxkwTDUkiDYSSZpPu45A?pwd=vqew
提取码:vqew
--来自百度网盘超级会员V7的分享
wget下载
bash
wget https://github.com/aquasecurity/kube-bench/releases/download/v0.6.19/kube-bench_0.6.19_linux_amd64.tar.gzkube-beach安装
- 解压
bash
tar -zxf kube-bench_0.6.19_linux_amd64.tar.gz- 创建默认配置路径
bash
mkdir -p /etc/kube-bench- 复制配置文件至默认目录
bash
mv cfg /etc/kube-bench/cfg- 设置为系统命令
bash
mv kube-bench /usr/bin/kube-beach使用
基础参数
-
使用kube-bench run进行测试,该指令有以下常用参数
-
--targets 指定要基础测试的目标,默认配置目标包括:master, controlplane, node, etcd, policies
-
--version:指定k8s版本,如果未指定会自动检测
-
--benchmark:手动指定CIS基准版本,不能与--version一起使用
-
查看帮助信息
bash
kube-bench --help
示例
- 检查master组件安全配置
bash
kube-bench run --targets=master
结果说明
- [PASS]:测试通过
- [FAIL]:测试未通过,重点关注,在测试结果会给出修复建议
- [WARN]:警告,可做了解
- [INFO]:信息