2024 CKS题库+详尽解析| 1. kube-bench 修复不安全项

藥瓿锻2025-06-13 16:06

目录

免费获取并激活 CKA_v1.31_模拟系统

[1.kube-bench 修复不安全项](#1.kube-bench 修复不安全项)

题目

开始操作:

1)、切换集群

2)、登录到Master节点并提权、登录到Master节点并提权)

3)、直接按照考试题目要求修改kube-apiserver.yaml、直接按照考试题目要求修改kube-apiserver.yaml)

[4)、修改 kubelet](#4)、修改 kubelet)

[5)、修改 etcd](#5)、修改 etcd)

[7)、再检查一下所有 pod](#7)、再检查一下所有 pod)

8)、退回到node01

免费获取并激活 CKA_v1.31_模拟系统

1.kube-bench 修复不安全项

题目

您必须在以下Cluster/Node上完成此考题:

Cluster Master node Worker node

CKS00101 master node01

.

设置配置环境:

candidate@node01\]$ kubectl config use-context CKS001001 . **Context** **.** 针对 kubeadm 创建的 cluster 运行 CIS 基准测试工具时,发现了多个必须立即解决的问题。 . **Task** **.** 通过配置修复所有问题并重新启动受影响的组件以确保新的设置生效。 修复针对 API 服务器发现的所有以下违规行为: 1.2.7 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL 1.2.8 Ensure that the --authorization-mode argument includes Node FAIL 1.2.9 Ensure that the --authorization-mode argument includes RBAC FAIL 1.2.18 Ensure that the --insecure-bind-address argument is not set FAIL 修复针对 kubelet 发现的所有以下违规行为: Fix all of the following violations that were found against the kubelet: 4.2.1 Ensure that the anonymous-auth argument is set to false FAIL 4.2.2 Ensure that the --authorization-mode argument is not set to AlwaysAllow FAIL 注意:尽可能使用 Webhook 身份验证/授权。 修复针对 etcd 发现的所有以下违规行为: Fix all of the following violations that were found against etcd: 2.2 Ensure that the --client-cert-auth argument is set to true FAI

开始操作:

1)、切换集群

bash 复制代码 
kubectl config use-context CKS00101

2)、登录到Master节点并提权

bash 复制代码 
ssh master
sudo -i

3)、直接按照考试题目要求修改kube-apiserver.yaml

bash 复制代码 
#配置文件备份
cp /etc/kubernetes/manifests/kube-apiserver.yaml /tmp

#编辑配置文件
vim /etc/kubernetes/manifests/kube-apiserver.yaml

具体修改配置如下:

bash 复制代码 
#修改、添加、删除相关内容
#修改 authorization-mode,注意 Node 和 RBAC 之间的符号是英文状态的逗号,而不是点。
 - --authorization-mode=Node,RBAC

#删除 insecure-bind-address。实际考试中,有可能本来就没写这行。
 - --insecure-bind-address=0.0.0.0

4)、修改 kubelet

bash 复制代码 
#查看kubelet配置文件位置
systemctl status kubelet

CKS模拟系统截图

修改配置文件

bash 复制代码 
vim /var/lib/kubelet/config.yaml

具体内容

bash 复制代码 
apiVersion: kubelet.config.k8s.io/v1beta1
authentication:
  anonymous:
    enabled: false                           #将true改成false
  webhook:
    cacheTTL: 0s
    enabled: true                            #将false改成true
  x509:
    clientCAFile: /etc/kubernetes/pki/ca.crt
authorization:
  mode: Webhook                              #模式改成Webhook,注意W大写
  webhook:
    cacheAuthorizedTTL: 0s
    cacheUnauthorizedTTL: 0s

CKS模拟系统截图

5)、修改 etcd

改之前,备份一下配置文件

bash 复制代码 
cp /etc/kubernetes/manifests/etcd.yaml /tmp
vim /etc/kubernetes/manifests/etcd.yaml

修改具体配置项

bash 复制代码 
    - --client-cert-auth=true          #将值改为true

6)、编辑完后重新加载配置文件,并重启 kubelet

bash 复制代码 
systemctl daemon-reload
systemctl restart kubelet

7)、再检查一下所有 pod

bash 复制代码 
kubectl get pod -A

8)、退回到node01

bash 复制代码 
exit

CKA高仿真环境简短演示视频

CKA高仿真环境简短视频演示

相关推荐
Hello.Reader8 小时前
Flink ZooKeeper HA 实战原理、必配项、Kerberos、安全与稳定性调优
安全·zookeeper·flink
智驱力人工智能9 小时前
小区高空抛物AI实时预警方案 筑牢社区头顶安全的实践 高空抛物检测 高空抛物监控安装教程 高空抛物误报率优化方案 高空抛物监控案例分享
人工智能·深度学习·opencv·算法·安全·yolo·边缘计算
七夜zippoe9 小时前
CANN Runtime任务描述序列化与持久化源码深度解码
大数据·运维·服务器·cann
金刚猿9 小时前
01_虚拟机中间件部署_root 用户安装 docker 容器,配置非root用户权限
docker·中间件·容器
数据与后端架构提升之路9 小时前
论系统安全架构设计及其应用(基于AI大模型项目)
人工智能·安全·系统安全
JH_Kong9 小时前
解决 WSL 中 Docker 权限问题:从踩坑到完整修复
docker·容器
忆~遂愿10 小时前
GE 引擎与算子版本控制:确保前向兼容性与图重写策略的稳定性
大数据·开发语言·docker
Fcy64810 小时前
Linux下 进程(一)(冯诺依曼体系、操作系统、进程基本概念与基本操作)
linux·运维·服务器·进程
袁袁袁袁满10 小时前
Linux怎么查看最新下载的文件
linux·运维·服务器
代码游侠11 小时前
学习笔记——设备树基础
linux·运维·开发语言·单片机·算法
热门推荐
01GitHub 镜像站点02Claude Code + GLM4.7 避坑指南:解决 Unable to connect to Anthropic services03openclaw配置教程(linux+局域网ollama)04UV安装并设置国内源05OpenClaw Chrome扩展使用教程 - 浏览器中继控制06Linux下V2Ray安装配置指南07Claude Code Skills 实用使用手册08Vue-skills的中文文档09让 Trae IDE 智能体 “读懂”文档 Excel+PDF+DOCX :mcp-documents-reader 工具使用指南10一文了解国产算子编程语言 TileLang,TileLang 对国产开源生态的影响与启示