2024 CKS题库+详尽解析| 1. kube-bench 修复不安全项

藥瓿锻2025-06-13 16:06

目录

免费获取并激活 CKA_v1.31_模拟系统

[1.kube-bench 修复不安全项](#1.kube-bench 修复不安全项)

题目

开始操作:

1)、切换集群

2)、登录到Master节点并提权、登录到Master节点并提权)

3)、直接按照考试题目要求修改kube-apiserver.yaml、直接按照考试题目要求修改kube-apiserver.yaml)

[4)、修改 kubelet](#4)、修改 kubelet)

[5)、修改 etcd](#5)、修改 etcd)

[7)、再检查一下所有 pod](#7)、再检查一下所有 pod)

8)、退回到node01

免费获取并激活 CKA_v1.31_模拟系统

1.kube-bench 修复不安全项

题目

您必须在以下Cluster/Node上完成此考题:

Cluster Master node Worker node

CKS00101 master node01

.

设置配置环境:

candidate@node01\]$ kubectl config use-context CKS001001 . **Context** **.** 针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。 . **Task** **.** 通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。 修复针对 API 服务器发现的所有以下违规行为: 1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL 1.2.8 Ensure that the --authorization-mode argument includes Node FAIL 1.2.9 Ensure that the --authorization-mode argument includes RBAC FAIL 1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL 修复针对 kubelet 发现的所有以下违规行为: Fix all of the following violations that were found against the kubelet: 4.2.1 Ensure that the anonymous-auth argument is set to false FAIL 4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL 注意:尽可能使用 Webhook 身份验证/授权。 修复针对 etcd 发现的所有以下违规行为: Fix all of the following violations that were found against etcd: 2.2 Ensure that the --client-cert-auth argument is set to true FAI

开始操作:

1)、切换集群

bash 复制代码 
kubectl config use-context CKS00101

2)、登录到Master节点并提权

bash 复制代码 
ssh master
sudo -i

3)、直接按照考试题目要求修改kube-apiserver.yaml

bash 复制代码 
#配置文件备份
cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp

#编辑配置文件
vim /etc/kubernetes/manifests/kube-apiserver.yaml

具体修改配置如下:

bash 复制代码 
#修改、添加、删除相关内容
#修改 authorization-mode,注意 Node 和 RBAC 之间的符号是英文状态的逗号,而不是点。
 - --authorization-mode=Node,RBAC

#删除 insecure-bind-address。实际考试中,有可能本来就没写这行。
 - --insecure-bind-address=0.0.0.0

4)、修改 kubelet

bash 复制代码 
#查看kubelet配置文件位置
systemctl status kubelet

CKS模拟系统截图

修改配置文件

bash 复制代码 
vim /var/lib/kubelet/config.yaml

具体内容

bash 复制代码 
apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous:
    enabled: false                           #将true改成false
  webhook:
    cacheTTL: 0s
    enabled: true                            #将false改成true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt
authorization:
  mode: Webhook                              #模式改成Webhook,注意W大写
  webhook:
    cacheAuthorizedTTL: 0s
    cacheUnauthorizedTTL: 0s

CKS模拟系统截图

5)、修改 etcd

改之前,备份一下配置文件

bash 复制代码 
cp /etc/kubernetes/manifests/etcd.yaml /tmp
vim /etc/kubernetes/manifests/etcd.yaml

修改具体配置项

bash 复制代码 
    - --client-cert-auth=true          #将值改为true

6)、编辑完后重新加载配置文件,并重启 kubelet

bash 复制代码 
systemctl daemon-reload
systemctl restart kubelet

7)、再检查一下所有 pod

bash 复制代码 
kubectl get pod -A

8)、退回到node01

bash 复制代码 
exit

CKA高仿真环境简短演示视频

CKA高仿真环境简短视频演示

相关推荐
河南博为智能科技有限公司5 分钟前
高集成度国产八串口联网服务器:工业级多设备联网解决方案
大数据·运维·服务器·数据库·人工智能·物联网
忙里偷闲学python28 分钟前
containerd_buildkitd构建镜像,告别docker构建
运维·docker·容器
S***42801 小时前
后端在微服务中的服务监控
微服务·云原生·架构
liweiweili1262 小时前
Linux 中替换某个目录下所有文件中的特定字符串
linux·运维·服务器
阿拉斯攀登2 小时前
Docker 全面解析:从核心概念到实践应用
docker·云原生·容器·架构
wanhengidc2 小时前
云手机 多端互通 科技
运维·服务器·科技·游戏·智能手机
init_23612 小时前
【BGP入门专题-3】bgp路由传递规则与路由属性1
运维·网络
弓弧名家_玄真君2 小时前
Ubuntu 20.04.3 LTS 安装vnc (Xfce4 + Xvfb)
linux·运维·ubuntu
哲Zheᗜe༘3 小时前
学习K8S-Deployment资源对象
docker·容器·kubernetes
生活爱好者!3 小时前
【影视项目】NAS 部署稳定视频订阅源咪咕
服务器·网络·docker·容器·音视频
热门推荐
01GitHub 镜像站点02UV安装并设置国内源03BongoCat - 跨平台键盘猫动画工具04【超详细教程】手把手教你从微软官网免费下载Windows 10官方原版ISO镜像(2025最新版)05安娜的档案(Anna’s Archive) 镜像网站/国内最新可访问入口(持续更新)06本地部署阿里最新开源的Z-Image07Linux下V2Ray安装配置指南08Meta第三代“分割一切”模型——SAM 3本地部署教程:首支持文本提示分割,400万概念、30毫秒响应,检测分割追踪一网打尽09Labelme从安装到标注:零基础完整指南10【保姆级教程】免费使用Gemini3的5种方法!免翻墙/国内直连