在使用 Kube Bench 的过程中注意到,其指导依据来自于 CIS Benchmark,于是顺藤摸瓜,下载了 CIS Kubernetes Be nchmark 的 PDF 版本,全文有两百多页,阅读量还蛮大的,因此对其进行整理,便于大家参考使用。
CIS 的指导原则里把建议行为分成了两级:
另外还将具体的检测结果分为计分和不计分两种结果。
以上两个维度可以用来对系统进行现状评估,也有助于读者选择性地采纳加固措施。
整个指南分为五个部分:
644
并且属于 root:root
。profiling
--service-account-lookup
--tls-cipher-suites
仅使用新的、强加密算法oidc
等模式来代替客户端证书认证。profiling
--use-service-account-credentials
127.0.0.1
--service-account-private-key-file
--feature-gates
启用 RotateKubeletServerCertificate
profiling
127.0.0.1
--auto-tls
--authorization-mode
禁用 AlwaysAllow
--read-only-port
为 0--streaming-connection-idle-timeout
不应设置为 0--protect-kernel-defaults
设置为 true
--make-iptables-util-chains
设置为 true
--hostname-override
--rotate-certificates
设置为 true
--event-qps
设置足够高,或者为 0
--feature-gates
启用 RotateKubeletServerCertificate
cluster-admin
角色secret
的访问false
privileged
hostPID
hostIPC
hostNetwork
allowPrivilegeEscalation
runAsUser.rule
NET_RAW
暗号:cis,获取原文下载链接,其中包含所有检查项目的详细解释,以及检查工作表。