Task
分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像),
并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。
分析和编辑给定的清单文件 /cks/docker/deployment.yaml ,
并修复在文件中拥有突出的安全/最佳实践问题的两个字段。
注意:请勿添加或删除配置设置;只需修改现有的配置设置让以上两个配置设置都不再有安全/最佳实践问题。
注意:如果您需要非特权用户来执行任何项目,请使用用户ID 65535 的用户 nobody 。
只修改即可,不需要创建。
参考资料
https://kubernetes.io/zh-cn/docs/concepts/security/pod-security-standards/
解答
先切换集群
kubectl config use-context KSSC00301
注意:本次的 Dockerfile 和 deployment.yaml 只修改即可,不需要创建
- 修改 Dockerfile
vim /cks/docker/Dockerfile 将 USER root 修改为 USER nobody USER nobody 修改基础镜像为题目要求的 ubuntu: 16.04 FROM ubuntu: 16.04
- 修改 deployment.yaml
# 注释 securityContext # securityContext: # {"Capabilities": {'add':{NET_BIND_SERVICE}, 'drop: []'}, 'privileged': TRUE}