# 官方提供@yunTaoScripts CKS 集群设置 🔥🔥
# 了解什么是CIS基准
Center for Internet Security是一个非盈利性实体,其任务是“确定、开发、验证、升级和维持针对网 络防御的最佳做法解决方案”。 它借鉴了来自世界各地政府、企业和学术界网络安全及 IT 专业人员的专业知识。 为了制定标准和最佳做法(包括 CIS 基准、控制措施和强化映像), 他们遵循一致的决策制定模型。具体可以参考 👉🏻 https://www.cisecurity.org/benchmark/kubernetes/ (opens new window)
# kube-bench
基于CIS 白皮书的内容,自动去检测集群安全性,并在有安全隐患时,实现修复。
kube-bench安装地址 👉🏻 https://github.com/aquasecurity/kube-bench/tags (opens new window)
# 0.3.1
kube-bench master [node]
# 0.6.3
./kube-bench --config-dir `pwd`/cfg --config `pwd`/cfg/config.yaml run --targets=master [node controlplane etcd policies]
# 创造问题
- 修改
cat
/etc/kubernetes/manifests/kube-apiserver.yaml`
- --authorization-mode=Node,RBAC
- --authorization-mode=AlwaysAllow (替换为)
- 修改
/etc/kubernetes/manifests/etcd.yaml
- --client-cert-auth=true
- --client-cert-auth=false (修改为)
← 快速链接