CKS
CKS 考试题整理 (05)-Container 安全上下文
Context Container Security Context 应在特定 namespace 中修改 Deployment。 Task 按照如下要求修改 sec-ns 命名空间里的 Deployment secdep 用ID为30000 的用户启动容器(设置用户ID为:30000) 不允许进程 ......
CKS 考试题整理 (16)-Pod安全策略
Task 创建一个名为restrict-policy的新的PodSecurityPolicy,以防止特权Pod的创建。 创建一个名为restrict-access-role并使用新创建的PodSecurityPolicy restrict-policy的ClusterRole。 在现有的namesp ......
CKS 考试题整理 (18)-TLS 安全配置
Task 通过 TLS 加强 kube-apiserver 安全配置,要求 kube-apiserver 除了 VersionTLS13 及以上的版本可以使用,其他版本都不允许使用。 密码套件(Cipher suite)为TLS_AES_128_GCMSHA256 通过 TLS 加强 ETCD 安全 ......
CKS 考试题整理 (15)-镜像扫描ImagePolicyWebhook
Context cluster 上设置了容器镜像扫描器,但尚未完全集成到cluster 的配置中。 完成后,容器镜像扫描器应扫描并拒绝易受攻击的镜像的使用。 Task 注意:你必须在 cluster 的 master 节点上完成整个考题,所有服务和文件都已被准备好并放置在该节点上。 给定一个目录 / ......
CKS 考试题整理 (14)-启用API Server认证
Context 由 kubeadm 创建的cluster 的kubernetes API 服务器,出于测试目的, 临时配置允许未经身份验证和未经授权的访问,授予匿名用户 cluster-admin 的访问权限。 Task 重新配置cluster的Kubernetes APl 服务器,以确保只允许经过 ......
CKS 考试题整理 (13)-使用 sysdig 检查容器里里的异常进程
Task 使用运行时检测工具来检测 Pod tomcat 单个容器中频发生成和执行的异常进程 有两种工具可供使用: sysdig falco 注: 这些工具只预装在cluster的工作节点,不在 master 节点。 使用工具至少分析30秒 ,使用过滤器检查生成和执行的进程,将事件写到 /opt/K ......
CKS 考试题整理 (12)-Trivy扫描镜像安全漏洞
Task 使用Trivy开源容器扫描器检测namespace kamino中 Pod 使用的具有严重漏洞的镜像。 查找具有High或Critical严重性漏洞的镜像,并删除使用这些镜像的Pod。 注意:Trivy 仅安装在cluster 的master上, 在工作节点上不可使用。 你必须切换到clu ......
CKS 考试题整理 (11)-沙箱运行容器gVisor
Context 该 cluster使用 containerd作为CRI运行时。containerd的默认运行时处理程序是runc。 containerd已准备好支持额外的运行时处理程序runsc (gVisor)。 Task 使用名为runsc的现有运行时处理程序,创建一个名为untrusted 的 ......
CKS 考试题整理 (10)-Dockerfile检测
Task 分析和编辑给定的Dockerfile /cks/docker/Dockerfile(基于ubuntu:16.04 镜像), 并修复在文件中拥有的突出的安全/最佳实践问题的两个指令。 分析和编辑给定的清单文件 /cks/docker/deployment.yaml , 并修复在文件中拥有突出 ......
CKS 考试题整理 (09)-日志审计 log audit
Task 在cluster中启用审计日志。为此,请启用日志后端,并确保: 日志存储在 /var/log/kubernetes/audit-logs.txt 日志文件能保留 10 天 最多保留 2 个旧审计日志文件 /etc/kubernetes/logpolicy/sample-policy.yam ......
CKS 考试题整理 (08)-Pod指定ServiceAccount
Context 您组织的安全策略包括: ServiceAccount 不得自动挂载 API 凭据 ServiceAccount 名称必须以 "-sa" 结尾 清单文件 /cks/sa/pod1.yaml 中指定的 Pod 由于 ServiceAccount 指定错误而无法调度。 请完成以下项目: T ......
CKS 考试题整理 (06)-默认网络策略
Context 一个默认拒绝(default-deny)的NetworkPolicy可避免在未定义任何其他NetworkPolicy的namespace中意外公开Pod。 Task 为所有类型为Ingress+Egress的流量在namespace testing中创建一个名为denypolicy的 ......
CKS 考试题整理 (07)-RBAC - RoleBinding
Context 绑定到 Pod 的 ServiceAccount 的 Role 授予过度宽松的权限,完成以下项目以减少权限集。 Task 一个名为 web-pod 的现有 Pod 已在 namespace db 中运行。 编辑绑定到 Pod 的 ServiceAccount service-acco ......
CKS 考试题整理 (05)-容器安全,删除特权pod
context 检查在 namespace production中运行的Pod,并删除任何非无状态或非不可变的 Pod。 task 使用以下对无状态和不可变的严格解释: 能够在容器内存储数据的 Pod 的容器必须被视为非无状态的。 注意:你不必担心数据是否实际上已经存储在容器中。 被配置为任何形式的 ......
CKS 考试题整理 (03)-secret
Task 在 namespace istio-system 中获取名为 db1-test 的现有secret的内容 将 username 字段存储在名为 /cks/sec/user.txt 的文件中,并将 password 字段存储在名为 /cks/sec/pass.txt的文件中。 注意:你必须创 ......
三天稳过CKS终极秘籍
三天稳过cks终极秘籍 考试心得 最近考过了cks,和大家说说这个备考的过程,以及一些注意事项。 怎样能拿到这个CKS的证呢?相信大家是都可以的,但是有一个好的方法会让我们事倍功半。 首先,以我的经验来说,我总共真实做题的时间三天左右。但这个三天是由包含很多东西,有前提条件的。我觉得你们也可以在三天 ......